Las organizaciones necesitan una sólida práctica de Arquitectura Empresarial para GDPR

Por: Pedro Robledo, experto en BPM y transformación digital

Todas las organizaciones (públicas o privadas, independientemente de su tamaño y sector de actividad) que tengan clientes en la Unión Europea o que almacenan o procesan datos de ciudadanos europeos o que utilizan servicios de terceros que lo hagan, están afectadas por el nuevo marco europeo de protección de datos, conocido como  General Data Protection Regulation (GDPR, Reglamento UE 2016/679 - Reglamento General de Protección de Datos).  Y afecta críticamente a todos los datos personales, cambiando la manera en que las organizaciones enteras interactúan con la información personal identificable, requiriéndoles cambios tanto en la seguridad y el procesamiento como en la documentación exhaustiva que deben mantener. Entró en vigor el 25 de mayo de 2016 con una moratoria de dos años, por lo que deben estar preparadas para el 25 de mayo de 2018, ya que pueden tener multas de hasta el 4% de la facturación general anual o de hasta 20 millones de euros,  y responsabilidad civil ilimitada por el incumplimiento en el uso de datos que puedan afectar moral o materialmente a una persona.

El problema reside en cómo adaptarse a la normativa (con más de 99 reglas y estipulaciones diferentes alrededor de los datos), que no resulta evidente y como de costumbre depende de la interpretación. Según el analista IDC, todavía el 78% de los directores de tecnología de las empresas europeas desconocen el impacto que tendrá en su negocio, y del resto sólo confirman que ya lo cumplen un 20%, por lo que es una tarea urgente para la mayoría de las empresas europeas. Se estima que más del 50% de las organizaciones que tienen que cumplir la normativa  GDPR no estarán preparadas completamente a finales de 2018.

El Reglamento es el cambio más significativo en los derechos fundamentales de privacidad de los datos en 20 años, garantizando que los datos personales estén protegidos con independencia de dónde se envíen, traten o almacenen.  Recoge  8 derechos fundamentales: derecho a estar informado, derecho al acceso, derecho a la rectificación, derecho al olvido (a ser borrados los datos cuando no sean necesarios para la finalidad con la que fueron recogidos), derecho a restringir el procesamiento,  derecho a la portabilidad de datos, derecho a objetar, y derecho sobre la toma de decisiones y creación de perfiles automáticos.  

Las empresas deben adoptar medidas para tener Responsabilidad Activa de esos derechos, no es suficiente la actuación ante una infracción, se debe ser proactivo y ser capaz de demostrar el cumplimiento de las normas y es un proceso de cumplimiento continuo que obliga a pensar y trabajar constantemente dentro del marco legal de la regulación. Tendrán que proteger los datos desde el diseño y por defecto, implementar medidas de seguridad, mantener un registro de tratamientos, conocer el flujo de datos,  administrar los datos a medida que cambian con el tiempo, realizar evaluaciones de impacto sobre la protección de datos, nombrar un Delegado de Protección de Datos (DPO) con competencias legales y de infraestructura tecnológica de seguridad (se estima que se requerirán 28.000 DPOs en Europa),  notificar cualquier fallo de seguridad en un plazo de 72 horas a la Agencia Española de Protección de Datos, y promocionar códigos de conducta y esquemas de certificación.

Las empresas tendrán que establecer barreras en sus procesos, para que la información sensible se trate atendiendo al propósito de su utilización, con confidencialidad e integridad. La tecnología juega un papel clave para garantizar el cumplimiento legal, y debe satisfacer los requisitos de privacidad (desde su recopilación, su tratamiento…  hasta la destrucción) y no solo los requisitos de seguridad.

Los datos se han convertido en un activo competitivo y las empresas recolectan la mayor cantidad posible de datos sobre los consumidores, a veces antes de saber exactamente qué, cómo o cuándo se utilizarán esos datos, provocando desequilibrios entre lo que sabemos y lo que saben de nosotros. Esta práctica de la maximización de los datos cambia con la GDPR hacia el principio de minimización de datos, obligando a que las empresas capten sólo la menor cantidad de datos personales durante el período de tiempo más corto posible y lo eliminen lo más rápidamente posible después de haber completado su propósito específico. 

Aunque el DPO es el principal responsable del cumplimiento e implementación del GDPR, éste necesitará un equipo de especialistas para tener éxito. El Arquitecto Empresarial desempeña un papel fundamental en el equipo de cumplimiento de GDPR. Los arquitectos empresariales están en una posición única para ayudar a su organización a demostrar que cumplen con la Regulación. Aprovechando sus modelos de Arquitectura Empresarial para análisis de seguridad y privacidad, los arquitectos pueden proporcionar análisis transversales sobre el uso y protección de datos en toda la empresa, sus procesos, personas y sistemas de TI.

Gartner propone enfocarse en cinco cambios de alta prioridad para hacer frente con rapidez a la UE GDPR:

1. Determinar su papel bajo el GDPR.
2. Nombrar a su Responsable de Protección de Datos.
3. Demostrar Responsabilidad en todas las actividades de procesamiento.
4. Compruebe sus flujos de datos transfronterizos.
5. Prepararse para que los sujetos de datos ejerzan sus derechos.

Dada la importancia de la Arquitectura Empresarial (AE) para el cumplimiento de GDPR, la mayoría de los fabricantes de soluciones de AE están proporcionando extensiones a sus productos e información específica que ayude al cumplimiento:

• Atoll Technologies explica que los Arquitectos Empresariales pueden ayudar a responder preguntas importantes: 

1. ¿Cómo recopila la organización datos personales?
2. ¿Dónde residen los datos personales en la organización?
3. ¿Dónde tiene intención la organización almacenar datos personales?
4. ¿Cómo está implementando la organización mecanismos de consentimiento personal?
5. ¿Cómo se mueven los datos personales a través de la organización? ¿A dónde van?
6. ¿Cómo y dónde procesa la organización los datos personales?
7. ¿Cómo se ocupa la organización de la confidencialidad de los datos personales?
8. ¿Quién es el DPO y cómo ejecutará su papel?
9. ¿Quién dentro de la organización posee los procesos que involucran datos personales?

• BOC Group ha desarrollado una extensión GDPR para sus productos (tanto para su suite ADONIS de gestión de procesos empresariales como para ADOIT su herramienta de gestión de arquitectura empresarial). Esto permite atender los requisitos del GDPR.  Para habilitar GDPR,  BOC ha ampliado sus productos con un nuevo artefacto, la actividad de procesamiento (Processing Activity):

1. Desde el punto de vista de la documentación GDPR impulsada por procesos, ADONIS le apoya detallando el directorio de procesamiento. El punto de partida es el mapa del proceso y las secuencias de proceso descritas. A partir de ahí, se describen las actividades de procesamiento y se identifican las categorías de datos relevantes.
2. Si está siguiendo un enfoque orientado por TI, ADOIT puede ayudarle a capturar las actividades de procesamiento desde el punto de vista de su mapa de aplicación ya su vez asignarles los artefactos correspondientes.

• Software AG ofrece su GDPR Framework para dotar a las empresas con las capacidades necesarias para cumplir con las obligaciones que les impone la nueva normativa como procesadores de datos personales. Esto incluye los medios para la creación de un registro detallado de las actividades de procesamiento de datos, proporcionando transparencia en la información, procesos y aplicaciones en el contexto del GDPR. Se trata de un proceso complejo que supone importantes cambios internos en las compañías y les exige una ordenada planificación a lo largo de los próximos meses. El GDPR Framework permite a las organizaciones establecer un marco dentro del modelo GRC (gobierno corporativo, administración de riesgos y cumplimiento normativo) para comunicaciones internas que garanticen la ejecución de la GDPR, lo que les permitirá seguir haciendo negocios en el marco de la Unión Europea (UE).

• BizzDesing propone 8 Pasos para que los Arquitectos Empresariales puedan afrontar  GDPR:

1. En la mayoría de las organizaciones, los arquitectos empresariales no tienen la responsabilidad final de garantizar el cumplimiento normativo. Esta responsabilidad puede recaer en su departamento jurídico, Jefe de Riesgo, Jefe de Cumplimiento, Jefe de Seguridad de la Información, o con el Oficial de Protección de Datos recién requerido por el GDPR. Unirse a estos funcionarios y hacerlos conscientes de la contribución potencial de la arquitectura es el primer paso.
2. Cualquier trabajo para asegurar el cumplimiento se basará en una buena visión general de los datos personales involucrados. Crear un "inventario de privacidad" es crucial.
3. Analice el uso de datos personales y, si es posible, aproveche sus modelos de arquitectura existentes para proporcionar una columna vertebral para su análisis.
4. Evaluar los riesgos de los datos sensibles, en particular los derechos y libertades de los interesados.
5. Definir controles y medidas de mitigación. Utilizar estándares comunes como ISO / IEC 27001 como base para identificar controles útiles.
6. Priorizar los riesgos, asignar presupuestos y planificar los cambios y mejoras necesarios.
7. Implementar los controles y medidas que ha definido en su organización, procesos y sistemas, y probar su seguridad.
8. Demostrar cumplimiento a las autoridades reguladoras, mostrando cómo procesa los datos personales, cómo lidia con los riesgos y qué medidas de mitigación implementó.

• Planview proporciona 5 consejos para ayudarle a comenzar con el cumplimiento de GDPR:

1. Identificar las partes interesadas de los grupos clave en la empresa y crear un comité.
2.  Trabajar con las partes interesadas para asegurarse de que entienden lo que es GDPR, cómo afectará a su organización y cómo su equipo los apoyará.
3.  Programar una reunión para discutir qué departamentos, tecnología, procesos y datos podrían verse afectados.
4. Ponga un plan en el lugar para adherir a la regulación dentro de su organización.
5. Empezar a documentar los activos de información que contienen datos personales y cómo se utiliza en la organización.

• Avolution presenta seis pasos que puede tomar para obtener visibilidad de los flujos de datos y la procedencia de los datos de su organización, lo que le ayuda a cumplir con GDPR:

1. Capacitar al equipo y entender la misión. Los arquitectos tienen los estándares, los marcos y las herramientas de modelado para entender exactamente cómo construir la imagen de extremo a extremo de la empresa necesaria para garantizar el cumplimiento.
2. Modelar sus almacenes de datos personales y de TI. Una vez que entienda los datos que captura, tendrá que entender por qué se capturan, cómo se procesan y quién hace ese procesamiento, dónde se almacenan y hasta cuándo pueden conservarse.
3. Algoritmos e integraciones para encontrar “shadow IT” (término que describe datos de TI utilizados sin aprobación) para que tenga una imagen completa y una comprensión sin precedentes de su captura, procesamiento y almacenamiento de datos personales de extremo a extremo.
4. Analizar los riesgos de cumplimiento.
5. Crear una Hoja de Ruta para conseguir el cumplimiento.  
6. Seguimiento y Presentación de Informes.

GDPR ha sido diseñado para fortalecer la protección de datos para los individuos en la UE. Las empresas necesitan revisar sus flujos y sistemas de datos existentes en contra de los requisitos de GDPR. También son fundamentales para identificar las acciones que se deben tomar para cumplir con GDPR en mayo de 2018.

Los arquitectos empresariales y los profesionales de riesgo y cumplimiento están en una posición sólida para ayudar al negocio, y los equipos de cumplimiento de GDPR que se conectan a los métodos de arquitectura existentes pueden moverse más rápido que aquellos que empiezan con una hoja en blanco.

GDPR requiere capturar el propósito para el cual los datos son almacenados por la organización y entender si cumplen la normativa. Los arquitectos empresariales ya están capacitados para proporcionar detalles sobre la seguridad de los datos para las auditorías de seguridad de la información y otros requisitos reglamentarios. Sin embargo, necesitan un conocimiento profundo de la arquitectura de la organización, incluyendo personas, procesos, sistemas y aplicaciones. Una sólida auditoría de datos y sistemas, y una documentación clara de los procesos darán sus frutos al demostrar que su negocio ha demostrado el cumplimiento de los datos personales con la normativa GDPR