Recientemente, la Oficina del Comisionado de Información del Reino Unido (ICO)multó al distrito londinense de Kensington & Chelsea (RBKC)con 120 000 libras esterlinas por identificar ilegalmente a 943 personas que poseían propiedades vacías en el distrito.
Esta violación de datos fue cometida por error por un miembro del personal del municipio que respondía a solicitudes de libertad de información (FOI) sobre el número de propiedades vacías en el municipio. El problema fue que los datos personales sensibles, que estaban ocultos para el personal de RBKC, fueron fácilmente encontrados por el solicitante de la FOI en una hoja de cálculo, lo que situó al municipio en clara violación de la Ley de Protección de Datos del Reino Unido y su inminente sucesora, el RGPD.
Este incidente pone de relieve dos cuestiones: en primer lugar, cómo los errores humanos en el uso de hojas de cálculo suponen un alto riesgopara los esfuerzos de cumplimiento del RGPD de cualquier organización, una vez que la normativa entre en vigor el25de mayo. En este caso, el error fue consecuencia de una mala comprensión por parte de los usuarios de cómo identificar, gestionar y eliminar correctamente los datos personales.
En segundo lugar,gestionar y supervisar manualmente la información relacionada con el RGPD(que a menudo se encuentra en hojas de cálculo) de forma eficaz resultadifícil, si no imposible,en muchas organizaciones debido a su gran volumen. La complejidad de muchas hojas de cálculo críticas para el negocio y los miles de celdas que contienen hacen que identificar los datos ocultos sea difícil, por decirlo suavemente.
Esta violación de datos es un claro recordatorio de que los datos no estructurados, que a menudo se almacenan en hojas de cálculo y se distribuyen por toda la organización, deben formar parte de los esfuerzos de cumplimiento del RGPD, al igual que los datos estructurados que residen en las aplicaciones informáticas básicas.
Garantizar el cumplimiento sostenible de las leyes de privacidad de datos.
Para garantizarel cumplimiento «sostenible»delRGPDy otros marcos de protección de datos en un futuro previsible, es imprescindible que las organizacionesestablezcan un marco de gestiónpara los datos estructurados y no estructurados relevantes para el RGPD, de modo que puedan gestionarse de forma proactiva en función del nivel de riesgo que suponen para la empresa.
Un enfoquesistemático yautomatizadogarantizará que los datos se recopilen de acuerdo con la política del RGPD de la organización y proporcionará un proceso de certificación auditable para que el cumplimiento del RGPD sea algo habitual. También proporcionará a las organizaciones la capacidad que necesitan pararesponder rápidamente a las solicitudes de supresión y portabilidad de datosen caso de que un individuo lo solicite. Fundamentalmente, minimizará la intervención manual y, por lo tanto, los errores humanos, que pueden resultar catastróficos cuando se trata de gestionar y supervisar manualmente entornos de hojas de cálculo para tareas como el control de versiones, los cambios y las aprobaciones, las nuevas adiciones de datos y la certificación.
Las organizaciones harán bien en determinar qué datos de información de identificación personal (PII) residen en su patrimonio de Excel y, a continuación, implementar los sistemas y procesos necesarios para la protección de datos con el fin de mantener el cumplimiento del RGPD. Como se muestra en este caso,ya no esun lujo, sino una necesidad.
Descubra PolicyHub
Es la solución de gestión de políticas fácil de usar, para que puedas reforzar el cumplimiento normativo.
