¿Estás listo para la puesta en marcha del Reglamento General de Protección de Datos de la Unión Europea que entrará en vigor el 25 de mayo de 2018? El GDPR se anuncia cómo el cambio más importante en el dominio de los reglamentos de confidencialidad de datos desde hace más de 20 años. Por lo cual probablemente, habrás encontrado innumerables artículos acerca de cómo prepararse y planear su cumplimiento.
Pero si aún estás en las etapas de auditoría y planificación, es el momento de pasar a la acción. La tarea de coordinar el conjunto de sistemas y actores que deben ser capaces de lograr y demostrar el cumplimiento del GDPR es enorme. La correcta automatización de los procesos de negocio para cumplir con el reglamento y probar su cumplimiento, podría ser un elemento que te ahorre fuertes multas.
Deja de pensar en el cumplimiento del GDPR como un problema relacionado únicamente con las tecnologías de la información
¿Recuerdas todos los preparativos realizados en 1999 para la llegada del llamado efecto 2000? Podemos considerar el cumplimiento del GDPR, como el gran evento informático del año. Pero es un error tratarlo como un problema único de las tecnologías de la información.
Su cumplimiento probablemente afectará a cada departamento de la compañía, con múltiples responsabilidades y numerosos procesos. El impacto sobre los sistemas de información y las organizaciones va a ser profundo.
Incluso si tu empresa no trata directamente con clientes o socios de la Unión Europea, podrías estar sujeto a sus mandatos. Es suficiente con que una persona dentro de la UE interactúe con algún nivel de tu organización, para que tu empresa tenga que cumplir con los requerimientos exigidos.
Por ejemplo, uno de los temas del GDPR es lo que se conoce como; “el derecho a ser olvidado” o la eliminación de datos. Cuando una persona establecida dentro de la Unión Europea solicita borrar completamente su información de las bases de datos de tu empresa, debes tomarte el tiempo para pensar ¿qué implica esto realmente?
Primero que todo, los datos de “carácter personal” del GDPR son bastantes. Según las preguntas frecuentes del sitio web oficial de dicho reglamento, estos comprenden: “toda la información relacionada a una persona natural o información del sujeto, que pueda ser usada directa o indirectamente para identificar a la persona, puede tratarse del nombre, una foto, un e-mail, datos bancarios, publicaciones en redes sociales, historia clínica o dirección IP”.
De ahí que, es necesario determinar la relación del solicitante con la empresa. ¿Qué sistemas podrían potencialmente contener los datos personales relacionados con esta persona? No es tan simple, como decir que la información de tus clientes se encontrará en el sistema CRM, o que la información de los socios estará almacenada en el sistema de gestión de bases de datos relacionales RDBMS.
Considera los procesos internos con relación a los datos. ¿Podrían contener datos financieros de la persona, incluso si no ha realizado ninguna transacción financiera con tu empresa? ¿Qué hay acerca de los sistemas de marketing y ventas? ¿El equipo de atención al cliente? ¿y el departamento de soporte? ¿Podría alguien en tu compañía mencionar a esta persona en cualquier comunicación interna o externa? ¿Puede la persona interactuar en alguna de las redes sociales de la empresa? ¿Y qué hay acerca de las copias de seguridad de todos estos sistemas?
¿Cuáles son las reglas internas que rigen la gestión de datos para cada uno de estos sistemas?
Por ejemplo, ¿Cuáles son las reglas que comprometen los datos del departamento de Marketing? ¿Hay reglas acerca de cómo deben ser eliminados los datos, o si los datos tienen fechas de caducidad?
Además de auditar y documentar la ubicación de todos los datos internos que pueden verse afectados por el GDPR, ¿comenzado a actualizar los procesos, para definir cómo todos los sistemas de la empresa administrarán el acceso a los datos, el movimiento y la persistencia de datos? ¿Has actualizado los flujos de trabajo de forma apropiada para que respondan totalmente al “derecho a ser olvidado” y a otros aspectos del GDPR? Una plataforma especializada en gestión de procesos (BPM) puede ayudarte a responder estas preguntas.
El BPM es conocido por organizar eficientemente los flujos de proceso complejos, a través de la automatización de estos. Además, puede agilizar y simplificar el cumplimiento del reglamento europeo haciendo que los procesos relacionados entre sí tengan un mejor flujo, proporcionando su documentación y trazabilidad de forma simultánea.
Demostrar el cumplimiento del RGPD
Como ya habíamos mencionado en diferentes ocasiones, no es suficiente cumplir con el GDPR; debes demostrar el cumplimiento según lo establecido por la Unión Europea. Es aquí, donde las plataformas BPM puede desempeñar un papel importante, ya que estas administran los procesos en tiempo real y crean un archivo de trazabilidad, documentando lo que pasa y cuándo pasa.
He aquí un rápido ejemplo, una empresa de software necesita documentar el cumplimiento de la solicitud realizada por una persona de la Unión Europea, para borrar su información de todos los sistemas. La mayor parte de los datos de las compañías se encuentran en el sistema de Salesforce, pero también es posible que los datos se encuentren en las bases de datos de seguimiento de licencias de software, contabilidad y marketing de la empresa, así como en varias publicaciones de redes sociales.
Una plataforma BPM puede ayudarte a encontrar, eliminar y documentar los datos personales del solicitante que han sido borrados en todos los sistemas. La plataforma BPM genera un seguimiento con la fecha y hora de cada paso y cada proceso e identifica quién fue el responsable de borrar la información de las bases de datos, para luego realizar un registro de cada eliminación.
Como middleware, BPM también puede administrar procesos a través de diferentes aplicaciones en la compañía. Sin BPM, la alternativa podría ser, escribir procesos para cada una de las bases de datos individualmente. Esta alternativa, hace que sea mucho más difícil no solo asegurarse de haber verificado todas las bases de datos aplicables, sino también documentar que cada una de las solicitudes en efecto han sido eliminadas.
Prepárese para los próximos desafíos del GDPR
Es importante recordar que GDPR es en sí un proceso, y es complejo. No es una lista de verificación o el seguimiento de pasos de forma aleatoria. Se puede establecer como un proceso sistemático para administrar datos personales en todas las bases de datos de la empresa. Por esa razón, una plataforma BPM es ideal para el cumplimiento del GDPR.
Además, una plataforma BPM te permite transformar los procesos de negocio con el cumplimiento de GDPR, mientras continúas aprovechando los activos de TI existentes. Se puede comenzar a trabajar con la plataforma BPM para estructurar los flujos de trabajo y sistemas relacionados con el GDPR, de modo que apoyen la aplicación eficiente de las tareas según la normativa. Con este modelo para la gestión de procesos, puedes agregar las aplicaciones de otras plataformas usadas en la empresa, incluida la gestión de atención al cliente, los sistemas de planificación de recursos empresariales y los desarrollos personalizados en Java, .NET o infraestructura heredada.
En este mundo cada vez más interconectado, la gestión de datos y la privacidad de los datos son más complicadas. Quizás los desafíos del GDPR te han cogido por sorpresa. Tal vez los procesos de tu empresa sean lo suficientemente simples como para poder manejarlos de forma manual, por ahora.
Sin embargo, implementando una plataforma BPM, tu empresa estará preparada para adaptarse a las nuevas regulaciones de gestión de datos que están por llegar.
Miguel Valdés Faura
Director general de Bonitasoft
