Tal y como anunciábamos hace una semana, continuamos con la serie de artículos que han preparado de forma conjunta los equipos de Technology Risk de KPMG Advisory  e IP&IT de KPMG Abogados con motivo de la celebración del quinto aniversario de la aplicación directa del Reglamento General de Protección de Datos en los que se repasarán y compartirán las experiencias y lecciones aprendidas durante estos cinco años. Abordaremos las cinco temáticas claves a las que se han enfrentado (y van a tener que seguir enfrentándose) las organizaciones para asegurar el cumplimiento de la normativa vigente en materia de protección de datos.

Así pues, como resultado de la evolución continua del escenario normativo en el que nos encontramos, la digitalización de los procesos y la internacionalidad cada vez más presente en las organizaciones, resulta necesario trabajar en modelos de gestión de la privacidad a través de un enfoque estructurado. De este modo, se obtendrá una mayor eficiencia a través de la optimización efectiva de procesos, la madurez en el cumplimiento por parte de las organizaciones, fortalecer y fomentar la confianza de los usuarios de los sistemas y, cómo no, proteger los datos de carácter personal, permitiendo en todo caso demostrar el cumplimiento proactivo de la normativa y mitigar riesgos organizativos, técnicos y legales.

Y es que contar con estos modelos, además, facilita la mejor integración del modelo de gobierno de los datos personales dentro de los sistemas generales de gobernanza de la información corporativa, permitiendo aplicar y usar de manera más ordenada y efectiva los datos y, con ello, ser capaces de innovar en base a estos datos.

Diseñar, implementar, mantener y mejorar un modelo de gestión integral de la privacidad es un reto continuo, lo que responde al principio de enfoque de riesgo, contenido en la propia normativa de protección de datos. La estructura de la organización, roles y responsabilidades asignadas, así como las tareas a realizar son clave para el éxito de cualquier estrategia de privacidad y gobierno del dato.

Por este motivo, las organizaciones necesitan poner el foco en el diseño de estrategias que permitan integrar la privacidad en los procesos, servicios y sistemas de información y tecnología, incluyendo apoyo en la implementación o mejoras de herramientas tecnológicas para la automatización de procesos, así como contar con un mayor control y monitorización de los riesgos en privacidad. Esto es importante en ámbitos como, por ejemplo, la gestión de riesgos en el tratamiento de los datos y el establecimiento de controles y medidas de seguridad en base a los resultados, el control y legitimación de las transferencias internacionales y/o la gestión y monitorización de los contratos con encargados del tratamiento, entre otros.

De esta manera, se proporciona un marco de trabajo que permite gestionar la privacidad a través de todas las áreas de la organización, desde el establecimiento de políticas y procedimientos transparentes que definan las obligaciones comunicadas y respaldadas por la dirección, la ejecución de evaluaciones de riesgo, la implementación de controles hasta la auditoría y monitorización continua. Se establece como parte del legado que durante estos cinco años hemos identificado para responder a las necesidades y cumplimiento planteado por el RGPD, y que sin duda seguirá evolucionando.

La figura del delegado de protección de datos (DPD/DPO) juega un papel fundamental en la implementación y mantenimiento de estos modelos y sistemas de gestión, al ser el responsable del asesoramiento y supervisión del cumplimiento de la normativa de protección de datos dentro de las organizaciones. Pero no está solo, también tiene que contar con apoyos de otras áreas tales como el CISO, CDO, etc., ya que la privacidad debe ser entendida como un fenómeno transversal que implique a toda la compañía.

Reestructuración de los modelos operativos: nuevos flujos de trabajo

Las organizaciones cada vez son más conscientes de la importancia de adoptar un modelo de gestión de privacidad, incluyendo el diseño de la operativa organizativa, técnica y legal apropiada. Por este motivo, el principal objetivo del propio modelo es integrar la privacidad en todas las etapas y procesos de la organización.

Así, se establecen nuevos flujos que establecen una cooperación transversal en la organización (Tecnología, legal, compras, atención al cliente, etc.) aunando la digitalización de las actividades, con el diseño y ejecución de políticas que permitan mejorar la capacidad de procesamiento de datos otorgando un valor que resulta fundamental para incrementar la eficacia y eficiencia en la toma de decisiones estratégicas de las organizaciones.

De esta manera, los nuevos flujos de trabajo han de tener en cuenta la privacidad como una prioridad, adoptando desde fases tempranas parámetros de privacidad y seguridad desde el diseño. A su vez, necesitan impulsar un enfoque proactivo en la protección de los datos.

En consecuencia, identificar las medidas de seguridad adecuadas que protejan la propia ejecución de estos flujos de trabajo forma parte de las políticas de definición de los nuevos modelos operativos. A este respecto, el acceso restringido, aplicación del principio de mínimo privilegio, la encriptación de los datos tanto en reposo como en tránsito y una evaluación continua de riesgos permite asegurar la eficacia del propio proceso.

Automatización de procesos en el modelo de gestión de privacidad

Uno de los puntos clave a abordar cuando construimos un modelo de gestión integral de la privacidad es identificar aquellos procesos o tareas manuales repetitivas que pueden ser automatizadas, permitiendo su ejecución de manera más eficiente, precisa y rápida, dirigiendo de esta manera el esfuerzo de los equipos hacia actividades de mayor valor agregado para la organización.

Algunos de los beneficios de la automatización de procesos en el modelo de gestión de privacidad, es la centralización de la información que posee la organización a través del procesamiento de los datos (automatizando las diferentes entradas, recopilación, clasificación… etc.) junto con la integración de sistemas y plataformas, que permiten optimizar los flujos de trabajo mejorando, entre otros, la comunicación y calidad de los datos.

Como ejemplos concretos de beneficio podemos incluir la gestión de los derechos de los interesados. De tal manera que la localización y recopilación de los datos permitan agilizar la respuesta y asegurar la efectividad de esta o el uso de soluciones tecnológicas para generar un modelo automatizado de gobernanza del dato, empleando, por ejemplo, técnicas de correspondencia de datos o reglas predefinidas sin la necesidad de intervención manual, lo cual se traduce en mejores resultados en la gestión del dato personal.

Así, por ejemplo, dichas soluciones permiten realizar un seguimiento de elementos de datos a escala, proporcionando un reporting de qué datos personales se están tratando en la organización, y cómo se está cumpliendo con los controles que se han adoptado para garantizar la seguridad de estos.

Otro de los puntos clave que es importante mencionar en relación con la automatización de procesos es la reestructuración que supone sobre los modelos operativos en la gestión de la privacidad, ya que como veíamos en el apartado anterior se generan nuevos flujos de trabajo en los procesos de las organizaciones. Así pues, dicha automatización puede implicar una nueva asignación de responsabilidades y roles, la cual facilita la gestión y monitorización y ayuda en la mitigación de riesgos organizativos, técnicos y legales.

En este sentido, la automatización del propio flujo de trabajo es una forma de acelerar la optimización, reduciendo los tiempos de ejecución a la vez que se mejora el proceso. Así, por ejemplo, la definición de reglas de asignación de tareas a las personas encargadas de ejecutarlas o el establecimiento de los deadlines incluyendo las notificaciones de aviso de estos proporcionan mejoras en el flujo de trabajo del equipo, establecido dentro del modelo de gestión de la privacidad.

Por tanto, cabe recalcar los siguientes conceptos esenciales para la implementación de un modelo automatizado de gestión de la privacidad:

  • Definición del modelo de gestión de privacidad en función de las necesidades de la organización, incluyendo un modelo de gobierno del dato personal que encaje con las estrategias generales de gobernanza de datos de la compañía.
  • Análisis exhaustivo de las diferentes soluciones tecnológicas, más eficientes como pueden ser las PET (Privacy Enhancing Technologies, que veremos a continuación), para la consecución de los objetivos marcados por la organización, reduciendo al máximo posibles riesgos para la privacidad de los datos (técnicas de “protección de datos desde el diseño y por defecto”).
  • Diseño de un proceso de implementación eficiente, cumpliendo las diferentes etapas definidas para ello, a fin de garantizar el éxito del proceso de implantación de las soluciones tecnológicas para la creación de un modelo automatizado de gestión de la privacidad ajustado a las necesidades específicas de cada cliente.

Privacy Enhancing Technologies

A raíz de la necesidad de automatizar y optimizar los procesos involucrados en la gestión de la privacidad, se busca la utilización de tecnologías que proporcionen estas acciones. Por ello, surgen las Privacy Enhancing Technologies (en adelante PET o PETs), que como ya identificábamos desde KPMG Technology Risk en anteriores publicaciones, pueden ayudar a demostrar el cumplimiento de la protección de datos desde el diseño y por defecto, ya que favorecen la garantía de los principios y obligaciones que son pilares básicos del RGPD.

En consecuencia, las PET (entre otros) promueven el principio de responsabilidad proactiva y ayudan a demostrar el cumplimiento de la protección de datos desde el diseño y por defecto. De este modo, permiten cumplir con obligaciones y principios esenciales del tratamiento, contenidos en el RGPD como el principio de minimización de datos, proporcionar un nivel de seguridad adecuado en el tratamiento de los datos, aplicar soluciones de seudonimización y anonimización o minimizar el riesgo que se deriva de las violaciones de datos personales. Tal y como se señala en la última publicación de la Agencia Española de Protección de Datos, que trata las técnicas de Aprendizaje Federado.

En definitiva, la definición de un modelo de gestión integral de la privacidad adaptado a cada empresa, así como de la incorporación de las soluciones tecnológicas más apropiadas, proporciona un valor añadido y una ventaja competitiva para cualquier organización. Especialmente en términos de reducción de tiempos y esfuerzos, y que a su vez ayuda a cumplir con el principio de responsabilidad proactiva, garantizando así la aplicación de medidas adecuadas que demuestren la plena observancia de la normativa en protección de datos a través del diseño y la optimización de las operativas organizativas, técnicas y legales que corresponda.