• Bookmark

COBIT 5 y el reglamento RGPD

Por Joanna Karczewska, CISA

COBIT Focus | 29 de marzo de 2017 English | Chinese Simplified | Japanese

Cuando resta tan solo un año para que entre en vigor el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE),1 ha llegado el momento de que todas las organizaciones con clientes europeos empiecen la implementación de sus requisitos. La mayor parte de las autoridades de supervisión de los países de la UE han publicado guías para la preparación. Sin embargo, por lo que respecta a la tecnología de la información involucrada, sería conveniente encontrar inspiración adicional en un marco reconocido de gobierno y gestión de TI empresarial (GEIT). Y, sí, ese marco es COBIT.


Resulta de utilidad la consulta de un documento introductorio como The GDPR and You,2 elaborado por la Oficina del Comisionado para la Protección de Datos de Irlanda (DPC, por sus siglas en inglés), para ayudar a que las organizaciones se preparen para el RGPD. Con el fin de ofrecer una guía clara y un punto de partida práctico, la DPC recopiló una lista de control para ayudar en el avance hacia 2018 y en la cumplimentación plena. Mediante la aplicación de los habilitadores de COBIT 5 al plan de acción de la DPC, se puede determinar el alcance básico para el que COBIT puede resultar de ayuda..


Habilitador de COBIT 5: Procesos

Tal como recomienda la DCP, el primer paso que se debe dar es el de tomar conciencia de los inminentes cambios legislativos. La DCP establece que «es esencial que el personal clave de la organización sea consciente de que la ley está cambiando para adaptarse al RGPD y que comience a tenerlo en cuenta en sus planificaciones futuras. Deberían comenzar a identificarse las áreas que podrían causar problemas de cumplimiento en relación con el RGPD».3


El proceso relevante de COBIT 5 podría ser APO01 Gestionar el Marco de Gestión de TI y sus prácticas de gestión:

  • APO01.01 Definir la estructura organizativa (figura 1):
    • Para establecer la involucración de las partes interesadas que vayan a ser críticas en la toma de decisiones relacionadas con la implementación del RGPD.

Figura 1: Proceso APO01.01 de COBIT 5

Fuente: ISACA, COBIT 5, EE. UU., 2012

  • APO01.02 Establecer roles y responsabilidades, y sus actividades (figura 2):
    • Para establecer, acordar y comunicar roles y responsabilidades del personal de TI corporativo que vaya a estar involucrado en la implementación del reglamento RGPD con unas responsabilidades y unas obligaciones de rendición de cuentas claramente definidas, en especial en lo que respecta a la toma de decisiones y su aprobación. Eso permitirá que todo el personal involucrado sea consciente de la nueva legislación y de la necesidad de su cumplimiento.

Figura 2: Proceso APO01.02 de COBIT 5

Fuente: ISACA, COBIT 5, EE. UU., 2012


El segundo paso recomendado por la DCP es «crear un inventario de todos los datos personales que se posean»44


La práctica de gestión del proceso APO01.06 Definir la propiedad de la información (datos) y del sistema (figura 3) podría aplicarse para crear y mantener un inventario de todos los datos personales que incluyan información sobre el objeto y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo y las categorías especiales de datos personales tratados, la procedencia de los datos, las partes con las que se comparten, sus períodos de retención, y las herramientas y técnicas implementadas para proporcionar una seguridad efectiva de los datos personales.


Figura 3: Proceso APO01.06 de COBIT 5

Fuente: ISACA, COBIT 5, EE. UU., 2012


Otra cuestión clave es la implementación de los nuevos derechos de los individuos al amparo del RGPD y el fortalecimiento de sus actuales. La información que las organizaciones están obligadas a proporcionar sobre el tratamiento de datos personales debe ser:

  • Concisa, transparente, inteligible y de fácil acceso
  • Escrita con claridad con vocabulario sencillo, en particular si está dirigida a menores
  • Gratuita

Por lo tanto, tal como recomienda la DCP, las organizaciones deberían revisar y actualizar los procedimientos para la tramitación de las peticiones de los interesados en los nuevos tiempos asignados. Sin embargo, el proceso de COBIT 5 que aborda en forma directa la comunicación con las partes interesadas —en este caso, con los interesados— es EDM05 Asegurar la Transparencia hacia las Partes Interesadas, y sus prácticas clave de gobierno son:

  • EDM05.01: Evaluar los requisitos de elaboración de informes de las partes interesadas, incluidos los avisos de privacidad de datos.
  • EDM05.02: Orientar la comunicación con las partes interesadas y la elaboración de informes.
  • EDM05.03: Supervisar la comunicación con las partes interesadas.

Puede que se necesite extender la tabla “Encargado, Responsable, Consultado e Informado” (RACI) de este proceso (figura 4) para que incluya a:

  • Los responsables que tramitarán las peticiones de individuos
  • Los responsables de relaciones públicas que emitirán las declaraciones oficiales y estarán a cargo de las comunicaciones con los medios de hacerse pública una violación de la seguridad de datos personales

Figura 4: Proceso EDM05 de COBIT 5 y diagrama RACI

Fuente: ISACA, COBIT 5, EE. UU., 2012


El RGPD también requiere que el responsable del tratamiento notifique a la autoridad de supervisión las violaciones de la seguridad de datos personales sin dilación indebida y, de ser posible, a más tardar 72 horas de que haya tenido constancia de ella. El desafío básico para los responsables del tratamiento va a ser registrar, clasificar y priorizar las peticiones y los incidentes, así como las violaciones de la seguridad de datos personales tan pronto como sea posible, y determinar si es probable que la violación de la seguridad represente un riesgo, o no, para los derechos y libertades de personas físicas. El proceso pertinente de COBIT 5 es DSS02, Gestionar las Peticiones y los Incidentes del Servicio. Adicionalmente, hay que establecer nuevos procedimientos para:

  • La notificación de violaciones de la seguridad de datos personales a la autoridad de supervisión
  • La comunicación de violaciones de la seguridad de datos personales al interesado

En los próximos meses, el Grupo de Trabajo del Artículo 295 tiene el propósito de elaborar una guía para la notificación de violaciones de la seguridad de datos personales. Esa guía va a ayudar a gestionar el proceso DSS02 en conformidad con la nueva legislación.


En último lugar, pero no por ello menos importante, el reglamento RGPD también requiere que los responsables del tratamiento realicen Evaluaciones de Impacto en Protección de Datos (EIPD) siempre que las operaciones de tratamiento puedan presentar un alto riesgo para los derechos y libertades de las personas físicas, y para garantizar la protección de datos por diseño y por defecto. Eso implica unos niveles de madurez altos en dos de los procesos de COBIT 5:

  • BAI02 Gestionar la Definición de Requisitos
  • BAI03 Gestionar la Identificación y la Construcción de Soluciones

Los esfuerzos deberían concentrarse en la práctica de gestión BAI02.03 Gestionar los riesgos de los requisitos, lo que requiere identificar, documentar, priorizar y mitigar el riesgo funcional, técnico y de tratamiento de la información asociado con los requisitos empresariales y las soluciones propuestas —en este caso, la protección de las personas físicas en relación con el tratamiento de datos personales y la reglamentación relacionada con la libre circulación de datos personales—.


El Grupo de Trabajo del Artículo 29 ha publicado recientemente las directrices de las evaluaciones EIPD, que determinan si el tratamiento «va a originar probablemente un alto riesgo»6 a efectos del reglamento 2016/679. El documento incluye una relación de marcos para las evaluaciones EIPD de la UE. Uno de los conjuntos de documentos más útiles sobre las Evaluaciones de Impacto de Privacidad (EIP) es el publicado por la Comisión Nacional de Informática y Libertades de Francia (CNIL).7 También se encuentra disponible en inglés.8, 9, 10


Habilitador de COBIT 5: Información

El RGPD recoge principios relacionados con el tratamiento de datos personales. Uno de esos principios establece que los datos personales deben ser exactos y que, siempre que sea necesario, deben estar actualizados; se deben llevar a cabo todas las actuaciones razonables para garantizar el borrado o la rectificación sin dilación indebida de los datos personales que sean inexactos, teniendo en cuenta la finalidad con que se tratan. Otro establece que los datos personales se traten de manera en que se garantice apropiadamente su seguridad, incluyendo las protecciones contra el tratamiento no autorizado o ilegal y contra la destrucción, el daño y la pérdida accidentales de datos personales, mediante las medidas técnicas u organizacionales adecuadas.


Con respecto a los objetivos de calidad de información definidos en COBIT 5: Información Catalizadora, los datos personales deben ser:

  • Exactos—Los datos son correctos y confiables—.
  • Objetivos—Los datos son insesgados, carecen de prejuicios y son imparciales, en especial en el caso de la toma de decisiones individuales automatizada, incluida la generación de perfiles—.
  • Integrales—Los datos son completos con la amplitud y la profundidad suficientes para la tarea disponible—.
  • Vigentes—Los datos están actualizados para la tarea disponible—.
  • Seguridad/accesibilidad/disponibilidad—Los datos están disponibles cuando se requieren o son de fácil y rápida recuperación—.
  • Seguridad/accesibilidad restringida/disponibilidad—Los datos están apropiadamente restringidos a las partes autorizadas—.

Habilitador de COBIT 5: Cultura, Ética y Comportamiento

Tal como se ha mencionado anteriormente, la concienciación es un factor clave para la eficacia del RGPD. Por tanto, el habilitador de Cultura, Ética y Comportamiento de COBIT 5, que hace referencia al conjunto de comportamientos individuales y colectivos dentro de una empresa, adquiere una importancia clave.


Las buenas prácticas para crear, promover y mantener el comportamiento deseado en la empresa con respecto a la protección de datos personales —tal como se enumera en el marco de COBIT 5— deben incluir:

  • La comunicación a toda la empresa de los comportamientos deseados.
  • La concienciación del comportamiento deseado, reforzada por un comportamiento ejemplar de la alta dirección y de otros campeones, incluyendo al responsable de protección de datos.
  • Los incentivos para promover, junto con las medidas disuasivas, para implantar el comportamiento deseado.
  • Las reglas y normas, que constituyan guías adicionales en lo referente al comportamiento organizacional deseado.

Habilitador de COBIT 5: Principios, políticas y marcos

TEl reglamento RGPD requiere que el responsable del tratamiento implemente las políticas de protección de datos apropiadas.


Cuando se desarrollan nuevos procedimientos relativos al tratamiento de datos personales o se revisan los actuales, las buenas políticas —como se recomienda en el marco de COBIT 5— deben ser:

  • Efectivas—Alcanzar el fin establecido—.
  • Eficientes—Garantizar que los principios del reglamento RGPD se implementen en la forma más eficaz—.
  • No invasivas—Deberían de resultar lógicas para quienes deben cumplirlas, es decir, que no tendrían que crear una resistencia innecesaria—.

Además, debe haber un mecanismo para proporcionar un fácil acceso a esas políticas a todas las partes interesadas, y las partes interesadas deberían saber dónde encontrar esas políticas.


Seguridad

Solo el Artículo 32 del reglamento RGPD se refiere en forma explícita a la seguridad del tratamiento que los responsables y encargados del tratamiento deben garantizar implementando las medidas técnicas y organizacionales necesarias teniendo en cuenta las últimas innovaciones disponibles; los costes de implementación; y la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos de distinta probabilidad y gravedad para los derechos y las libertades de las personas físicas. Estas medidas deberían incluir:

  • El uso de seudónimos y el cifrado de los datos personales
  • La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y los servicios de tratamiento operativos
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de que ocurra un incidente físico o técnico
  • Un proceso para llevar a cabo de forma regular la evaluación, la prueba y el análisis de la eficacia de las medidas técnicas y organizacionales para garantizar la seguridad del tratamiento

Sin embargo, en otros artículos del reglamento RGPD se mencionan más requisitos de seguridad. Disponer de un sistema de gestión de la seguridad de la información sería definitivamente una ventaja. Esto implica un proceso bien gestionado APO13, Gestión de la Seguridad.


Conclusión

Esta asignación de los habilitadores de COBIT 5 al RGPD no es exhaustiva, y los lectores deberían aplicar su propio criterio profesional para garantizar que sus preparativos tengan en cuenta todas las acciones precisas para que las organizaciones cumplan con la nueva ley. Lo que se intenta aquí es mostrar que COBIT 5 puede resultar muy útil para apoyar esas acciones y para inspirar a sus usuarios.


Joanna Karczewska, CISA

Es una auditora de SI independiente, consultora y capacitadora de COBIT, profesora en la Universidad Tecnológica de Varsovia (Polonia) y en la Academia Naval Polaca, autora de numerosos artículos de COBIT y auditoría de TI, y ponente en numerosas conferencias de TI. Cuenta con 40 años de experiencia profesional en TI en organismos del gobierno de Polonia y en empresas extranjeras radicadas en Polonia. Karczewska trabajó como revisora especializada de muchas publicaciones de COBIT 5. Además es la líder de la Comunidad de los Temas de Polonia en el Centro de Conocimiento de ISACA.


Notas finales

1 Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo del 27 de abril de 2016, sobre la protección de personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos, y la derogación de la Directiva 95/46/CE (Reglamento General de Protección de Datos), vigente a partir del 25 de mayo de 2018.
2 Oficina del Comisionado para la Protección de Datos, The GDPR and You, Irlanda, 2017
3 Ibíd.
4 Ibíd.
5 Comisión Europea, Grupo de trabajo del artículo 29, 22 de noviembre de 2016
6 Ibíd.
7 Commission Nationale de l'Informatique et des Libertés, Gérer les risques, 2 de marzo de 2017
8 Commission Nationale de l'Informatique et des Libertés, Privacy Impact Assessment (PIA) Methodology (How to Carry Out a PIA), junio de 2015
9 Commission Nationale de l'Informatique et des Libertés, Privacy Impact Assessment (PIA) Tools (Templates and Knowledge Bases), junio de 2015
10 Commission Nationale de l'Informatique et des Libertés, Measure for the Privacy Risk Treatment Good Practices, Francia, 2012