Portal Profesional de Comunicación Visual

GDPR: Cinco implicaciones para la industria gráfica

  • Publicado el 08 de Enero de 2018
  • Luis Heras

En mayo de 2018 entra en vigor el Reglamento General de Protección de Datos (GDPR) de la UE, en virtud del cual cualquier organización que gestione datos personales de personas físicas de la UE debe cumplir sus disposiciones o podría ser multada con hasta 20 millones de euros, o el 4% del volumen global de negocio anual.

La normativa se aplica para cualquier empresa que recopile, procese, almacene o utilice datos personales de personas físicas de la UE, incluidas las organizaciones del sector público, sanidad, marketing y las empresas que les prestan servicios.

También afectará a compañías que realicen impresión transaccional y mailings, imprentas y empresas de artes gráficas cuya actividad incluya el tratamiento de datos personales de ciudadanos de la UE. A pesar del efecto inevitable de la regulación en estas empresas, un reciente estudio de IDC revela que el 51% de los responsables de la toma de decisiones de negocio de impresión e imagen no creen que el GDPR se relacione con la impresión.

Entonces, ¿qué podría significar el nuevo reglamento para la industria gráfica? Hay muchas implicaciones, pero vamos a comenzar con destacar cinco puntos iniciales importantes:

1. Comprensión y puesta en marcha

El primer paso para cualquier empresa del sector de la impresión es saber si está clasificada como controlador de datos o como procesador de datos. Ambos tienen obligaciones en virtud del nuevo Reglamento. Un "controlador de datos" determina los fines y medios para los que se tratarán los datos personales (por ejemplo, un banco); y un "procesador de datos" procesa los datos personales en nombre del responsable del tratamiento (por ejemplo, una imprenta puede ser un encargado del tratamiento de datos al imprimir extractos bancarios en nombre del banco).

Las organizaciones -independientemente de la clasificación- tendrán que nombrar a un responsable de protección de datos (DPO por sus siglas en inglés) o, si no es estrictamente necesario de manera individual, se podrá hacer de manera colectiva. En colaboración con otros departamentos, las tareas de los DPO incluirían el control del cumplimiento del GDPR, asesoramiento e información a la organización y a sus empleados sobre sus obligaciones. Finalmente, actuarían como punto de contacto para las autoridades supervisoras y las personas cuyos datos se procesan.

Luis Heras, Responsable de márketing de Xerox España

2. Registro de las actividades de procesamiento

Bajo el nuevo reglamento, tanto los controladores como los procesadores de datos deben mantener registros de las actividades de tratamiento de datos y ponerlos a disposición de las autoridades supervisoras si así lo solicitan.

¿Cómo deben realizar un seguimiento del flujo de datos? Una forma podría ser realizar ejercicios de mapeo de datos que proporcionen una visión completa de la información que se recopila, procesa y guarda, y que rastreen el flujo de datos entre las unidades de negocio y terceros. Estos ejercicios de mapeo también tendrían que repetirse a medida que se produzcan cambios en la forma de recopilar los datos, o que se modifiquen los sistemas, procesos o procedimientos durante el ciclo de vida de los datos.

3. Derechos individuales

La estrecha supervisión y seguimiento de los datos personales es esencial para cumplir con los derechos individuales reforzados con el reglamento GDPR, que pueden incluir el derecho a ser informado, el derecho a la portabilidad de los datos y el derecho al borrado (o "derecho al olvido").

Cuando una persona desea que se borren sus datos personales o, en su caso, que se interrumpa el tratamiento de los datos, es posible que se exija a las imprentas, en su calidad de procesadores de datos, que presten asistencia a los responsables del tratamiento en las solicitudes de acceso. Esto requeriría que los procesadores de datos localizasen determinados datos personales para su eliminación o destrucción a instancias de un responsable del tratamiento o de una persona física.

4. Seguridad y privacidad por diseño

El nuevo soporte de informe del GDPR para las notificaciones de violación de datos, que permite a los responsables del tratamiento de datos informar a las autoridades supervisoras en 72 horas, ha recibido una atención considerable. El GDPR también exige a los procesadores de datos que notifiquen a los responsables del tratamiento de datos, sin demora injustificada, tras conocerse una violación de los datos personales.

Para evitar las multas y el daño a la reputación que una violación de datos puede causar, la industria gráfica mantendrá un estándar de seguridad incluso más elevado que antes. Las imprentas deben aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde al riesgo.

Con el advenimiento del Internet de las Cosas (IoT) y más dispositivos inalámbricos con acceso a las redes, han surgido nuevas amenazas de ciberseguridad que tienen un impacto en la tecnología de impresión. Las actuales impresoras y los dispositivos inteligentes requieren un enfoque de seguridad de múltiples capas que abarca la prevención de intrusiones, la detección de dispositivos, la detección de documentos y datos y las asociaciones externas con especialistas en seguridad. Es imperativo garantizar la seguridad de los datos personales, por ejemplo, mediante el encriptado (según proceda); y cuando los datos ya no se necesiten, deben borrarse.

Además, las funcionalidades del producto, como el control de acceso (asegurarse de que sólo los usuarios autorizados tengan acceso a dispositivos de impresión) y la impresión segura (que sólo liberan documentos de impresión cuando el usuario introduce su número PIN) ayudan a resolver problemas de seguridad.

A medida que la tarea de investigar la seguridad se vuelve cada vez más onerosa, es probable que los acuerdos de nivel de servicio de seguridad (SLA) -incluido el compromiso con el cifrado de datos y la autenticación de dos factores- aparezcan con mayor frecuencia en los contratos.

5. Consolidación de la red de proveedores

Es frecuente en complejos proyectos de impresión transaccional utilizar múltiples socios para completar el mailing (uno para inserciones, otro para cartas, otro para compilar, etc.), lo que reduce el control sobre el contenido y aumenta el riesgo.

Los requerimientos del GDPR podrían conllevar un aumento del volumen de negocio para grandes fabricantes de equipos originales (OEM), ya que los clientes demandarán la seguridad de un proveedor integral que gestione los procesos en todas las ubicaciones geográficas y proporcione infraestructura, seguridad e informes automatizados dentro de un entorno controlado.

Falta cada vez menos para la entrada en vigor del GDPR, por lo que es hora de que las organizaciones se preparen para los importantes cambios que supondrá para la industria gráfica. Es el momento de que, tanto las empresas de la industria gráfica, como las de otros sectores, evalúen su actividad de procesamiento de datos, busquen asesoramiento especializado y desarrollen un enfoque sistemático.

Descargo de responsabilidad:
El contenido de este artículo se proporciona sólo con fines informativos generales y no pretende ser utilizado como sustituto de consejos u opiniones legales específicas. Xerox declina toda responsabilidad por las acciones u omisiones realizadas en base al contenido de este artículo.

Luis Heras

Responsable de márketing de Xerox España

Artículos relacionados

Últimas revistas