Los avances tecnológicos de los últimos años han supuesto un aumento de la capacidad de procesamiento de datos y un mayor énfasis en su uso. En este sentido, el próximo 25 de mayo de 2018, entrará en vigor una nueva ley de ámbito europeo, denominada General Data Protection Regulation (GDPR) o Reglamento General de Protección de Datos (RGPD).
La GDPR reemplazará a la antigua Data Protection Directive de 1995 y a sus versiones locales (que incluye la LOPD española), lo cual supone la mayor reforma a la legislación de privacidad de los últimos 20 años. Se trata del resultado del trabajo reciente de la Unión Europea para estandarizar la normativa existente en lo que respecta a la utilización de datos de carácter personal en ámbito europeo.
Las repercusiones por no cumplir con la GDPR pueden suponer hasta el 4% de los ingresos anuales de la empresa o hasta 20 millones de euros en forma de sanción económica.
Lo que muchas empresas desconocen es que, dentro de los múltiples cambios requeridos por la nueva normativa, surge la obligación de disponer de soluciones de continuidad de negocio o de Disaster Recovery.
Efectivamente, la normativa expone en su artículo 32 lo siguiente:
- Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
De dicho extracto se desprende que toda compañía que opere con datos de clientes deben disponer de una solución adecuada de Disaster Recovery que le permita la disponibilidad y acceso a dichos datos. Para ello, es necesario ser capaces de demostrar que existen procesos relativos a gestionar la seguridad, la disponibilidad y la recuperación de la información, así como que existen pruebas asociadas a una solución de continuidad de negocio.
Este requisito no sólo afecta a las propias organizaciones propietarias de los datos, sino también a los proveedores que operen y gestionen los mismos (data processors).
Sin embargo, la exigencia normativa no debe impedirnos ver el verdadero beneficio de una solución de continuidad de negocio: no se trata sólo de cumplir con la legislación, sino de disponer de la oportunidad de desarrollar un plan práctico y detallado de recuperación ante desastres que protejan a la compañía. Sucesos como el de British Airways del pasado mes de mayo, que supuso más de 700 vuelos cancelados, 75.000 pasajeros furiosos y pérdidas económicas de más de 100 millones de euros, debe servir de referencia a la hora de analizar la viabilidad de una solución de este tipo.
Tanto por el posible impacto económico como por el nuevo marco normativo, se hace imprescindible contar con proveedores expertos en la protección de datos y de información, con amplia experiencia y una clara orientación al servicio excelente. Desde ValoraData, nos ofrecemos a informarle sin ningún compromiso acerca de nuestras soluciones.