La Unión Europea ya ha iniciado la marcha por el nuevo Reglamento General de Protección de Datos (GDPR) que entrará en vigor en mayo. Su incumplimiento asciende a una multa de hasta 20 millones de euros.
La UE expone a cualquier organización que gestione datos personales de cualquier persona que pertenezca a la UE a cumplir el nuevo Reglamento General de Protección de Datos al pie de la letra. La multa asciende hasta 20 millones de euros o un 4% del volumen global del negocio anual. Si tu empresa recopila, procesa, almacena o utiliza cualquiera de esos datos se te aplicará la nueva normativa, incluida a los sectores públicos, sanitarios, marketing y otras empresas que les prestan servicios.
La normativa afectará a cualquier compañía y organización que realice impresión transaccional y mailing, imprentas y empresas de artes gráficas, cuya actividad incluye el tratamiento de datos personales. Debido a que entrará en vigor en unos meses, vamos a ver cómo afectará la normativa en la industria gráfica, destacando 5 puntos importantes:
1. Comprensión y puesta en marcha
Cualquier empresa del sector de la impresión es saber si está clasificada como controlador de datos o como procesador de datos. Ambos tienen obligaciones en virtud del nuevo Reglamento. Un «controlador de datos» determina los fines y medios para los que se tratarán los datos personales (por ejemplo, un banco); y un «procesador de datos» procesa los datos personales en nombre del responsable del tratamiento (por ejemplo, una imprenta puede ser un encargado del tratamiento de datos al imprimir extractos bancarios en nombre del banco).
Las organizaciones, independientemente de la clasificación, tendrán que nombrar a un responsable de protección de datos o, si no es estrictamente necesario de manera individual, se podrá hacer de manera colectiva. En colaboración con otros departamentos, las tareas de los DPO incluirían el control del cumplimiento del GDPR, asesoramiento e información a la organización y a sus empleados sobre sus obligaciones. Finalmente, actuarían como punto de contacto para las autoridades supervisoras y las personas cuyos datos se procesan.
2. Registro de las actividades de procesamiento
Bajo el nuevo reglamento, tanto los controladores como los procesadores de datos deben mantener registros de las actividades de tratamiento de datos y ponerlos a disposición de las autoridades supervisoras si así lo solicitan.
¿Cómo deben realizar un seguimiento del flujo de datos? Una forma podría ser realizar ejercicios de mapeo de datos que proporcionen una visión completa de la información que se recopila, procesa y guarda, y que rastreen el flujo de datos entre las unidades de negocio y terceros. Estos ejercicios de mapeo también tendrían que repetirse a medida que se produzcan cambios en la forma de recopilar los datos, o que se modifiquen los sistemas, procesos o procedimientos durante el ciclo de vida de los datos.
3. Derechos individuales
La estrecha supervisión y seguimiento de los datos personales es esencial para cumplir con los derechos individuales reforzados con el reglamento GDPR, que pueden incluir el derecho a ser informado, el derecho a la portabilidad de los datos y el derecho al borrado (o «derecho al olvido»).
Cuando una persona desea que se borren sus datos personales o, en su caso, que se interrumpa el tratamiento de los datos, es posible que se exija a las imprentas, en su calidad de procesadores de datos, que presten asistencia a los responsables del tratamiento en las solicitudes de acceso. Esto requeriría que los procesadores de datos localizen determinados datos personales para su eliminación o destrucción a instancias de un responsable del tratamiento o de una persona física.
4. Seguridad y privacidad por diseño
El nuevo soporte de informe del GDPR para las notificaciones de violación de datos, que permite a los responsables del tratamiento de datos informar a las autoridades supervisoras en 72 horas, ha recibido una atención considerable. El GDPR también exige a los procesadores de datos que notifiquen a los responsables del tratamiento de datos, sin demora injustificada, tras conocerse una violación de los datos personales.
Para evitar las multas y el daño a la reputación que una violación de datos puede causar, la industria gráfica mantendrá un estándar de seguridad incluso más elevado que antes. Las imprentas deben aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde al riesgo.
Con el advenimiento del Internet de las Cosas (IoT) y más dispositivos inalámbricos con acceso a las redes, han surgido nuevas amenazas de ciberseguridad que tienen un impacto en la tecnología de impresión. Las actuales impresoras y los dispositivos inteligentes requieren un enfoque de seguridad de múltiples capas que abarca la prevención de intrusiones, la detección de dispositivos, la detección de documentos y datos y las asociaciones externas con especialistas en seguridad. Es imperativo garantizar la seguridad de los datos personales, por ejemplo, mediante el encriptado (según proceda); y cuando los datos ya no se necesiten, deben borrarse.
Además, las funcionalidades del producto, como el control de acceso (asegurarse de que sólo los usuarios autorizados tengan acceso a dispositivos de impresión) y la impresión segura (que sólo liberan documentos de impresión cuando el usuario introduce su número PIN) ayudan a resolver problemas de seguridad.
A medida que la tarea de investigar la seguridad se vuelve cada vez más onerosa, es probable que los acuerdos de nivel de servicio de seguridad (SLA) -incluido el compromiso con el cifrado de datos y la autenticación de dos factores- aparezcan con mayor frecuencia en los contratos.
5. Consolidación de la red de proveedores
Es frecuente en complejos proyectos de impresión transaccional utilizar múltiples socios para completar el mailing (uno para inserciones, otro para cartas, otro para compilar, etc.), lo que reduce el control sobre el contenido y aumenta el riesgo.
Los requerimientos del GDPR podrían conllevar un aumento del volumen de negocio para grandes fabricantes de equipos originales (OEM), ya que los clientes demandarán la seguridad de un proveedor integral que gestione los procesos en todas las ubicaciones geográficas y proporcione infraestructura, seguridad e informes automatizados dentro de un entorno controlado.
Falta cada vez menos para la entrada en vigor del GDPR, por lo que es hora de que las organizaciones se preparen para los importantes cambios que supondrá para la industria gráfica. Es el momento de que, tanto las empresas de la industria gráfica, como las de otros sectores, evalúen su actividad de procesamiento de datos, busquen asesoramiento especializado y desarrollen un enfoque sistemático.
Estos son los 5 puntos más importantes y, a pesar del efecto inevitable de la regulación en estas empresas, un reciente estudio de IDC demuestra que la mayoría de los responsables de la toma de decisiones de negocio de impresión e imagen (51%) no creen que el GDPR se relacione con la impresión.