(34) 928 228 151 info@gemed.es

[:es]

Hace unas semanas me crucé con Juan Díaz. Un conocido de hace tiempo y que debido a ese tiempo mantenemos una relación estrecha de confianza mutua que casi podemos decir que ha derivado en amistad.

Juan tiene una compañía de alquiler de vehículos y me dice entre el estupor y la sorpresa. Gonzalo, hace siete días ha venido a verme una empresa y me ha preguntado cuál es el nivel de protección que tengo en los archivos con los datos de mis clientes, empleados, proveedores…

Caí en la cuenta que me hablaba de la en su momento “famosa y mortificante LOPD”; le respondí. Mire este tema lo tenemos resuelto hace años. Concretamente contratamos una consultora y uno de sus expertos jurídicos nos indicó como teníamos que proceder con los archivos con la información a efectos de protección y además este experto registró en la APD; estos archivos. Por lo que entiendo que estamos al día en lo referente a la LOPD.

Gonzalo; cuál fue mi sorpresa cuando el representante de esta empresa va y me dice:

Señor Díaz, la empresa que le “ha resuelto hace años” sus obligaciones en materia de protección; ¿se ha dirigido a usted recientemente y le ha informado de las nuevas obligaciones que en esta materia impone la Unión Europea a través del RGPD; (Reglamento General de Protección de Datos); y que entra en vigor el próximo 26 de mayo de 2018?.

¿Conoce usted su obligación y el tipo de medidas que debe tomar usted desde el punto de vista técnico y organizativo?.

Lo cierto, es que después de decirme esto y hacerme estas preguntas me quedé en blanco y sobre todo sin respuesta. Le dije a mi interlocutor que dado que no tenía respuesta a sus preguntas, le concedía unos minutos para que me pusiera al corriente de la nueva situación.

Me explicó grosso modo en qué consistían los cambios y las implicaciones y nuevas obligaciones y responsabilidades. Me llamó especialmente la atención cuando citó varios artículos, como por ejemplo el artículo 25 por el cual todas las empresas y Administraciones tenemos la obligación de adoptar medidas técnicas y organizativas. Por ejemplo realizar auditorías periódicas de ciberseguridad, que garanticen que el acceso a los datos solo podrá ser realizado por el responsable del tratamiento de datos. A adoptar técnicas de seudonimización que consiste en sustituir un atributo por otro en un registro que contiene datos a proteger. También me citó dentro de las medidas organizativas el artículo 42 por el que debo de tener un SGSI; (Sistema de Gestión de Seguridad de la Información); y certificaciones que amparen este sistema. Pero lo que más me llamó la atención o más bien más me alarmó, fue cuando me citó el artículo 83 que recoge el régimen sancionador y las nuevas cuantías a las que deberíamos hacer frente en caso de incumplimientos del RGPD.

En este momento le dije que parara y que íbamos a concertar una reunión de trabajo con nuestro departamento de informática para establecer en conjunto una estrategia dirigida al cumplimiento del nuevo RGPD.

Lo cierto es que la visita de esta empresa, por una parte me enfrentó a la realidad y me causó un cierto alivio, dado que me ha permitido conocer la situación de incumplimiento y riesgo en la que se encuentra mi empresa. Pero por otra me di cuenta que debo gastar más dinero por imposiciones legislativas.

Cuando escuché esto a mi amigo Juan, no pude más que hacerle la siguiente reflexión.

Juan, aún recuerdo cuando comenzaste con tu negocio de alquiler. Estabas en una nave en la que tenías a varias personas en administración, y varios en mantenimiento.

Cierto Gonzalo. Fíjate que comencé con dos personas en administración cuando teníamos 50 vehículos en alquiler. Esto fue hace 25 años. No había ni internet.

Recuerdas que fuimos creciendo hasta tener una flota de más de 2.000 vehículos, hasta 15 personas en administración moviendo papeles, haciendo facturas, cobrando, haciendo nóminas, compras, etc. etc. y otras 20 personas en el centro de llamadas; (Call Center); que tuvimos que montar para poder atender a todos nuestros clientes tanto locales como internacionales lo que nos obligó a tener horarios de atención de 12 horas. Recuerdo bien el comienzo del siglo XX con el gran desarrollo de internet y las posibilidades que nos otorgó el poder automatizar muchos procesos.

De hecho hoy tenemos tecnología y sistemas en funcionamiento que permiten a nuestros clientes contratar nuestros servicios a través de una web, de una App que permite alquilar y pagar a nuestros clientes. Incluso ahora tenemos la flota distribuía por el archipiélago sin tener que disponer de naves para guardar los vehículos, y el cliente puede acceder al vehículo más cercano a su ubicación y dejarlo en el destino. De hecho Gonzalo, estamos pensando en crear un servicio urbano por el cual nuestros clientes sean internacionales, nacionales o locales, utilicen nuestros vehículos y paguen sólo por el uso. Por los kilómetros que recorran en ese momento, que hagan un trayecto de ida y dejen el vehículo libre para otro cliente que lo necesite…

En este instante paré a mi amigo y le pregunté:

Juan; ¿cuántas personas tienes ahora en administración?. Me respondió, 5 y muy eficientes…

¿Y cuántas personas tienes ahora en el centro de llamadas?. El centro de llamadas ya no existe como tal. Hemos cambiado las 20 operadoras que llegó a haber por un departamento de informática que tiene 8 personas entre desarrolladores y asistencia técnica interna.

Juan; ¿te das cuenta lo que me estás contando? Es decir, has cambiado en 25 años una plantilla de 35 personas de una cualificación media baja, por otra plantilla de 13 personas de mayor eficiencia y cualificación. Esto se llama TRANSFORMACIÓN DIGITAL. Tienes menores costes operativos con una notable mayor facturación y beneficio.

Y ahora te pregunto. ¿Realmente crees que las obligaciones impuestas por la Unión Europea en materia de seguridad y proyección de la información es un gasto como dices o más bien podemos considerarlo una inversión más asociada a esa transformación digital?

Te hago la siguiente analogía.

Si tú banco por no tomar medidas en materia de ciberseguridad y protección de datos, es atacado por ciberdelincuentes y los datos de todas tus operaciones bancarias, los datos de las tarjetas de crédito de los clientes que pagan los servicios que contratan a tu empresa, son filtrados y hechos públicos en la red…; ¿Qué piensas que ocurriría Juan?.

Pues Gonzalo, realmente sería un desastre para mi empresa. Rompería la confianza de mis clientes en mis sistemas de comercialización y pago. Sería un verdadero desastre reputacional muy difícil de superar. Se me viene a la cabeza la noticia de esta semana con el ciberataque a UBER. Lo cierto es que podría hasta poner en riesgo la continuidad de mi negocio.

Entonces Juan, el cumplimiento del nuevo RGPD y las obligaciones en materia de ciberseguridad y cumplimento organizativo, podríamos no considerarlo un gasto como decías, sino más bien una inversión dirigida a proteger tu negocio y permitir que este crezca y se desarrolle en un entorno digital seguro. Pues Gonzalo, realmente es como dices. En efecto es una inversión y muy rentable.

Fuente: www.agpd.es

Fuente: https://www.boe.es/doue/2016/119/L00001-00088.pdf

Fuente:

https://www.genbeta.com//seguridad/uber-la-grave-ocultacion-del-ciberataque-y-la-enesima-perdida-de- confianza?utm_source=NEWSLETTER&utm_medium=DAILYNEWSLETTER&utm_content=POST&utm_campaign=23_Nov_2017+Genbeta&utm_term=CLICK+ON+TITLE

https://www.genbeta.com//actualidad/estados-unidos-reino-unido-australia-y-filipinas-investigan-el-hackeo-ocultado-por- uber?utm_source=NEWSLETTER&utm_medium=DAILYNEWSLETTER&utm_content=POST&utm_campaign=24_Nov_2017+Genbeta&utm_term=CLICK+ON+TITLE

 

 

[:]

Pin It on Pinterest

Share This