Automatización del cumplimiento del Reglamento General de Protección de Datos para pymes
¿Qué tienen en común los servicios relacionados con los datos de salud y seguridad social, el servicio de atención al cliente de un concesionario de automóviles y las agencias inmobiliarias que utilizan servicios en la nube? Desde mayo de 2018, el elemento en común es el Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés). O quizás deberíamos decir la carga adicional que supone la creación de procesos empresariales conformes con el RGPD. El problema se ha documentado adecuadamente, pero todavía no se ha abordado de forma completa. Lograr el cumplimiento del RGPD no resulta en absoluto sencillo, especialmente en el caso de las pymes con recursos y conocimientos técnicos limitados. Cada día, estas empresas se enfrentan a cuestiones relacionadas con la interpretación de las disposiciones y los requisitos del RGPD, la adaptación operativa y las medidas técnicas adecuadas que deben ponerse en práctica. En este sentido, nunca antes han sido tan importantes la relación con los interesados, la aplicación de sus derechos, la cuestión de la responsabilidad y la gestión de las pruebas del cumplimiento. Este es el contexto en el que se concibieron las herramientas de BPR4GDPR (Business Process Re-engineering and functional toolkit for GDPR compliance). Según comenta Spiros Alexakis, miembro del consejo de CAS Software y coordinador de BPR4GDPR: «Hemos creado el primer paquete de herramientas capaz de tener en cuenta la mayoría de los aspectos del cumplimiento del RGPD a lo largo de todas las fases del ciclo vital del proceso empresarial. Estas herramientas pueden adaptarse de forma automática y transformar procesos para hacer que cumplan las políticas de privacidad, tanto en la fase de diseño como después de su ejecución». BPR4GDPR básicamente se ocupa de todo el estrés para el personal de la empresa que suponen las cuestiones relacionadas con el RGPD, sin importar la fase de aplicación en la que se encuentren. En la fase de diseño, las herramientas y soluciones del proyecto ayudan a las empresas a comprender en qué momento las normas y los comportamientos previamente definidos no son conformes y la manera en que deben adaptarse. Durante la ejecución, ofrecen soluciones para apoyar o aplicar las políticas de privacidad. Por último, después, ayudan a investigar y analizar las circunstancias en las que se produce un incumplimiento.
Variedad de oportunidades
Tal y como señala Alexakis, el proyecto ha tenido cuatro resultados principales: «Por un lado está la ontología del cumplimiento, un amplio marco de control de uso y acceso consciente de la privacidad que regula el funcionamiento general del sistema. Además, hemos realizado un rediseño de ingeniería consciente de la privacidad de los procesos empresariales que produce de forma automática modelos de procesos conformes con el RGPD. El tercer resultado es un marco que permite identificar las discrepancias en cuanto al cumplimiento, mientras que el cuarto es un “paquete de herramientas de cumplimiento” de tiempo de ejecución. Ofrece las funcionalidades típicas que son necesarias para aplicar medidas del RGPD, como el cifrado y herramientas de anonimización y gestión de datos, además de aplicar los derechos de los interesados». El equipo del proyecto probó sus soluciones en tres proyectos piloto que se centraron respectivamente en los datos sensibles en los sectores de la salud y la seguridad social, el cumplimiento como servicio para servicios de gestión de relaciones con los clientes en concesionarios de automóviles, y las agencias inmobiliarias que utilizan servicios en la nube. «Además de sus necesidades fundamentales, los tres proyectos piloto reflejan distintos requisitos en cuanto al cumplimiento. La primera ronda de pruebas nos ha proporcionado una información valiosa en cuanto a la funcionalidad, el rendimiento y la usabilidad, la cual se ha utilizado durante la segunda fase de aplicación. En la actualidad, estamos llevando a cabo la ronda final, que tiene como objetivo evaluar a fondo las soluciones, aplicar los ajustes que sean necesarios y allanar el camino para aprovechar los resultados más allá del ciclo de vida del proyecto», explica George Lioudakis, cofundador de ICT Abovo y responsable del marco político de BPR4GDPR. Renata Medeiros de Carvalho, profesora auxiliar de la Universidad Técnica de Eindhoven y encargada de la coordinación científica y la difusión del proyecto BPR4GDPR, es especialmente optimista en cuanto a los resultados para los socios. «Todos tenemos expectativas diferentes. Las grandes industrias de “software” esperan que aumente sus beneficios al ofrecer cumplimiento como servicio o integrar el cumplimiento en sus productos. Por su parte, las pymes de tecnología y consultoría aspiran a una forma flexible y rentable de incluir el cumplimiento en sus servicios. Los bufetes de abogados participantes se benefician de una nueva herramienta de consultoría para la codificación de legislación, la evaluación del cumplimiento y la aplicación. Por último, las organizaciones de la fase piloto están reconsiderando su planteamiento del cumplimiento». A pocos meses de la finalización del proyecto, Alexakis explica que el equipo del proyecto se centrará ahora en la creación de un impacto. Esto abarca la difusión de los resultados del proyecto, la interacción con las partes interesadas y el aprovechamiento comercial y no comercial de los resultados del proyecto.
Palabras clave
BPR4GDPR, RGPD, cumplimiento, automatización, pymes, privacidad de los datos