La gran demanda de servicios de adecuación al RGPD (GDPR por sus siglas en inglés) experimentada este año en la Unión Europea está teniendo una respuesta absolutamente heterogénea por parte de las empresas consultoras y los despachos de abogados. Mientras las primeras dan más importancia a la seguridad en el alcance de la propuesta, los segundos dan mayor protagonismo a las obligaciones de contenido jurídico.
Es absolutamente normal y legítimo que cada uno defienda el alcance que considera más adecuado para satisfacer una necesidad de cumplimiento normativo que comporta importantes sanciones, especialmente en relación a una norma que el cliente medio no conoce a fondo debido a la situación de hiperregulación existente en la actualidad en la Europa continental.
Todos estamos de acuerdo en que los proyectos RGPD deben tener un enfoque multidisciplinar que incluya e integre los conocimientos jurídicos y los conocimientos tecnológicos, estructurados habitualmente en medidas organizativas, jurídicas y de seguridad. En lo que no hay un criterio uniforme es en la proporción de cada área.
Por ello, en el mercado actual podemos encontrar multiples combinaciones que configuran diversas modalidades de enfoque que escoran hacia una u otra disciplina en función de quién lidere el proyecto.
Siguiendo la regla del 80-20, es habitual que los proyectos impulsados por consultoras de seguridad dediquen un 80% a la seguridad y un 20% a las cuestiones jurídicas. Y también es habitual que los proyectos impulsados por despachos de abogados dediquen un 80% a las cuestiones jurídicas y un 20% a la seguridad. Estos porcentajes variarán en función de los acuerdos de colaboración externa o de organización interna, y del peso que cada disciplina tenga en esos acuerdos, llegando, en algunos casos, a la proporción aparentemente ideal del 50-50.
Los argumentos comerciales han coincidido en resaltar la cuantía de las sanciones en ambas disiciplinas, aunque en materia de seguridad el argumento principal se ha centrado en el impacto reputacional de tener que comunicar una brecha de seguridad o una fuga de datos.
En cuanto a los entregables, las consultoras acostumbran a dividir las fases de análisis de gap, disgnóstico, plan de acción e implantación, con una clara separación de esta última fase, que es opcional, de las anteriores fases. Los despachos de abogados se centran más en la adaptación, por lo que aunque las fases coincidan, los entregables incluyen más políticas, normas, procedimientos y aspectos organizativos relacionados con los principios del RGPD.
Para realizar un análisis objetivo del peso real de cada disciplina en un proyecto RGPD habría que valorar los siguientes elementos:
Una primera aproximación a estos seis elementos de valoración nos da los resultados que aparecen reseñados en los artículos enlazados en la lista anterior.
CONCLUSIONES
Tras analizar los datos objetivos que ofrece el RGPD y las estadísticas analizadas, se puede llegar a las siguientes conclusiones:
Las dos disciplinas, la jurídica y la relativa a la seguridad son absolutamente complementarias y deben trabajar juntas en los proyectos RGPD, pero el miedo a tener que comunicar una violación de datos no puede hacer perder la atención en el objetivo principal del proyecto, que es prevenir las infracciones que realmente tengan más probabilidad y más impacto económico en función de las estadísticas analizadas, las tendencias previsibles, las obligaciones establecidas en el RGPD y la cuantía de las sanciones.
Xavier Ribas