La herramienta que pone a raya los datos

Un quebradero de cabeza para las empresas. El pasado 25 de mayo entró en vigor el reglamento que cambió de forma sustancial los criterios de protección de los datos de los ciudadanos europeos. Normas comunes para responder a tres interrogantes: ¿quién? ¿cómo? y ¿por qué? Y es que las personas tienen derecho a conocer qué rumbo toma la información que entregan, en muchas ocasiones, sin saberlo a los negocios. Un salvoconducto con el que exigir borrar, suspender su tratamiento o rectificarla si es incorrecta. La cuestión es que bastantes compañías y administraciones públicas no conocen si están en la senda legal. Un asunto que no es baladí, ya que las multas por incumplimiento pueden llegar hasta los 20 millones de euros.

Para evitar una situación que descuadre el balance anual aparece la firma palentina Grupo CFI. Cuenta con un software que ayuda al cumplimiento de la normativa de protección de datos personales. ¿De qué manera? Permite crear, de forma automática, y en base a los datos que se introducen, toda la información que se requiere: registro de actividades de tratamiento, cláusulas legales, compromisos de confidencialidad, contratos de acceso a datos por cuenta de terceros, funciones y obligaciones del personal en materia de protección de datos, análisis de riesgos, medidas de seguridad a implantar, registro de incidencias, política de privacidad, aviso legal para la página web, entre otros.

Además, contribuye a realizar, «de forma muy ágil», la gestión y mantenimiento posterior de la normativa de protección de datos en la entidad. Esto es: mantener actualizado el análisis de riesgos, generar nuevos compromisos de confidencialidad a los trabajadores que se incorporen, generar nuevos contratos con los nuevos encargados que tenga la entidad y llevar un registro de las incidencias que se producen.

Julio César Miguel, director general de la empresa palentina, sostiene que es «una herramienta innovadora» porque la implantación del Reglamento General de Protección de Datos en una entidad no es algo que se haga una vez y se olvide. «La ley exige que la implantación se mantenga actualizada en todo momento, es decir, la entidad tiene que mantener actualizado el cumplimiento», expone para, a renglón seguido, subrayar que esto se traduce en que es necesario llevar a cabo una serie de gestiones cuando recoge los datos de una persona –ya sea cliente, trabajador, un currículo, etc.–, cuando un trabajador deja la organización, cuando se instala un sistema de videovigilancia, cuando un ciudadano solicite sus derechos...

A esto se une el mantenimiento del análisis de riesgos ante los cambios que se produzcan en los sistemas informáticos, programas o tipos de datos recogidos. «Y lo que es más importante, actualizado ante los cambios legislativos», matiza Miguel.

LOPD Manager –así se llama– se encuentra en los servidores de la compañía. Esto significa que el usuario no tiene que instalar absolutamente nada en su equipo, lo único que necesita es un navegador y conexión a internet para utilizarla.

Por ello, destaca que las ventajas son «significativas». En primer lugar, no tiene problemas de instalación ni de compatibilidad con sistemas operativos u otras aplicaciones. En segundo, la herramienta se encuentra en todo momento actualizada. El broche a los valores añadidos lo ponen las nuevas funcionalidades que el usuario puede disfrutar sin tener que hacer nada.

El director general de Grupo CFI reconoce que no son los únicos del mercado que cuentan con una plataforma de estas características, sin embargo, puntualiza que sí que son «los mejores». Y lo argumenta: además del equipo de programación, disponen de varios abogados en la plantilla y dos consultores con más de 10 años de experiencia en la implantación de la normativa de protección de datos en empresas, asociaciones y administraciones públicas. Esto ha permitido, tal y como explica, que la documentación esté cien por cien bien desde el punto de vista legal y disponer de una aplicación «más cómoda y rápida» a la hora de introducir los datos y generar la documentación. «Son los consultores los que, bajo su experiencia diaria, instruyen al equipo de desarrollo sobre cómo deben realizar la programación».

Las diferencias con los competidores son «significativas». A nivel técnico, lo que más llama la atención es el análisis de riesgos, la tarea «más complicada» del proceso. «Ten en cuenta que para realizar un buen análisis de riesgos, la organización debe identificar todos los activos utilizados para el tratamiento de los datos personales y vincularlos a las actividades de tratamiento que realiza», advierte Julio César Miguel.

Después se tiene que identificar las amenazas a las que están expuestos esos activos, así como las vulnerabilidades que podrían aprovechar las amenazas para causar su daño. Una vez registradas las amenazas y vulnerabilidades de cada uno, se debe estimar el daño que se produciría en caso de que las amenazas identificadas tuviesen éxito. Pone un ejemplo, que se logre acceder a determinada información o que se pierdan los datos definitivamente.

Por último, se estima la probabilidad de que cada una de las amenazas aprovechen las vulnerabilidades identificadas en los activos para causar daño. Realizado ese paso, hay que aportar medidas de seguridad para rebajarlo. «LOPD Manager nos permite automatizar el 80% de este proceso».

Cuentan ya con más de 50.000 clientes registrados. Sus planes de futuro pasan por seguir aumentando la red de partners y servicios. Para ello, han ampliado las instalaciones y para 2019 van a duplicar la plantilla.