La multa del ICO pone de relieve el riesgo de las hojas de cálculo para el cumplimiento del GDPR
Recientemente, la Oficina del Comisario de Información del Reino Unido (ICO) impuso una multa de 120.000 libras al Royal Borough de Kensington y Chelsea (RBKC) por identificar ilegalmente a 943 personas propietarias de viviendas vacías en el distrito.
Esta violación de datos fue cometida por error por un miembro del personal del distrito que estaba respondiendo a solicitudes de libertad de información (FOI) sobre cuántas propiedades estaban vacías en el distrito. El problema fue que el solicitante de la FOI encontró fácilmente en una hoja de cálculo datos personales sensibles que el personal del RBKC tenía ocultos, lo que supuso una clara violación de la Ley de Protección de Datos del Reino Unido y su inminente sucesor, el GDPR.
Este incidente pone de relieve dos cuestiones: En primer lugar, cómo el error humano en el uso de hojas de cálculo supone un alto riesgo para los esfuerzos de cumplimiento del GDPR de cualquier organización, una vez que el reglamento entre en vigor el25 de mayo. En este caso, el error se debió a que los usuarios no sabían cómo identificar, gestionar y eliminar correctamente los datos personales.
En segundo lugar, gestionar y supervisar manualmente la información relacionada con el RGPD (que a menudo reside en hojas de cálculo) de forma eficaz es difícil, si no imposible, en muchas organizaciones debido a su enorme volumen. La complejidad de muchas hojas de cálculo críticas para la empresa y los miles de celdas que contienen dificultan, por decirlo suavemente, la identificación de datos ocultos.
Esta filtración de datos es un duro recordatorio de que los datos no estructurados, que a menudo se almacenan en hojas de cálculo y se distribuyen por toda la organización, deben formar parte de los esfuerzos de cumplimiento del RGPD, de forma similar a los datos estructurados que residen en las principales aplicaciones de TI.
Garantizar el cumplimiento sostenible de la legislación sobre privacidad de datos
Para garantizar un cumplimiento "sostenible" del GDPR y otros marcos de protección de datos en un futuro previsible, es imprescindible que las organizaciones establezcan un marco de gestión para los datos estructurados y no estructurados relevantes para el GDPR, de modo que puedan gestionarse de forma proactiva en función del nivel de riesgo que supongan para la empresa.
Un enfoque sistemático y automatizado garantizará que los datos se capturen de acuerdo con la política de la organización en relación con el RGPD y proporcionará un proceso de certificación auditable para que el cumplimiento del RGPD sea habitual. También proporcionará a las organizaciones la capacidad que necesitan para satisfacer rápidamente las solicitudes de supresión y portabilidad de datos en caso de que una persona lo solicite. Y lo que es más importante, reducirá al mínimo la intervención manual y, por tanto, los errores humanos, que pueden resultar catastróficos cuando se trata de gestionar y supervisar manualmente entornos de hojas de cálculo para aspectos como el control de versiones, los cambios y las aprobaciones, las nuevas incorporaciones de datos y la certificación.
Las organizaciones harán bien en establecer qué datos de información de identificación personal (PII) residen en su patrimonio Excel y, a continuación, implementar los sistemas y procesos necesarios para la protección de datos para mantener el cumplimiento del GDPR. Como se muestra en este caso, ya no es un lujo, sino una necesidad.
Descubra PolicyHub
Es la solución de gestión de políticas más fácil de usar, para que pueda reforzar el cumplimiento.
