Robots de software para cumplir la nueva Ley de Protección de Datos

El uso de automatización inteligente —la combinación de robots de software y sistemas cognitivos o inteligencia artificial— es una de las formas más efectivas de implementar la nueva regulación de protección de datos de la UE (GDPR), que en España se ha plasmado en el Reglamento General de Protección de Datos (RGPD).

Todo el mundo es consciente ya de la llegada del RGPD, que entró en vigor el pasado 25 de mayo. Esta nueva legislación ha obligado a poner en marcha toda una serie de cambios para todo tipo de organizaciones; y no todas, ni mucho menos, están preparadas para su cumplimiento. Lo que se busca con este nuevo reglamento es introducir un conjunto de normas destinadas a uniformar a la legislación en torno al uso de los datos a escala europea, con el fin de proteger al usuario en ámbitos como el modo en que se recopilan, se almacenan y se usan por parte de las empresas.

La entrada en vigor del RGPD plantea un escenario en el que el cliente tiene derecho, por ejemplo, a verificar qué información se ha almacenado sobre él y en qué sistemas, a transferir los datos o  incluso a “ser olvidado”. Además, debe ser informado, en un plazo de 72 horas, en caso de que se produzca una brecha de seguridad o una pérdida de datos.

Este nuevo reglamento obliga a las empresas a desarrollar toda una serie de nuevas capacidades y a implementar soluciones que les permitan capturar, almacenar, usar y eliminar información de identificación personal (PII, personally identifiable information), es decir, cualquier información que identifique a un individuo determinado.

Algunas implicaciones

Para cumplir con el RGPD, es necesario que las empresas puedan identificar qué datos de las personas se almacenan, dónde y durante cuánto tiempo; además, deben ser capaces de categorizarlos por parámetros de sensibilidad, justificación legal para la retención y duración del almacenamiento. En este sentido, las empresas deben evitar almacenar información personal que ya no se use, y han de aplicar seudónimos para separar los datos de cualquier identificador unívoco.

Las personas cuyos datos se almacenan tienen derecho a acceder, previa solicitud, a la información recogida sobre ellas, así como a conocer el uso que se hace de dicha información. Además, cualquier ciudadano de la UE podrá retirar su consentimiento y tendrá derecho a modificar o eliminar datos personales, dentro de ciertos parámetros.

La automatización de los procesos

Para evitar las fuertes multas que se han establecido para castigar el incumplimiento de los procedimientos establecidos por ley, las empresas deben adoptar una serie de medidas que, aunque son técnicamente viables, no están exentas de complejidad debido a la dispersión de los datos en diversos sistemas o a la necesidad de unificar su gestión.

Es aquí donde entran en juego las soluciones de automatización inteligente, mediante las que se puede construir un mapa que recoja dónde residen los datos de carácter personal en todos los repositorios de información de la empresa. Del mismo modo, mediante el uso de sistemas de procesamiento cognitivo y robots de software, se identifica, analiza y clasifica la información personal en función de la tipología de los datos, y se controla el período de retención.

Además, los robots de software se pueden emplear para la realización de una limpieza periódica de los datos aplicando determinadas reglas (por ejemplo, eliminando aquellos que no son necesarios, los que han expirado, etc.) y en todos los sistemas implicados. También pueden recopilar información de varios sistemas para cumplir con el derecho que las personas tienen de poder visualizar, actualizar, eliminar o exportar sus datos personales de manera agregada y unificada.

Otro punto importante que se puede desarrollar a través de los robots de software es la posibilidad de anonimizar los datos mediante seudónimos de forma previa a su almacenamiento, e informar a los individuos en caso de una violación de seguridad. Este es un tema especialmente importante. En caso de que se produzca un acceso no autorizado a aquellos datos que contienen información privada de los clientes ¿cómo se informaría a todos y cada uno de ellos de esa brecha de seguridad dentro de las 72 horas que indica la ley? Hacerlo de forma manual es prácticamente imposible. Sin embargo, es posible programar a uno o varios robots de manera que se garantice que el procedimiento se cumple dentro de los plazos legales establecidos.

Estas acciones, junto con la trazabilidad completa que proporcionan, hacen que los robots de software sean un medio especialmente indicado para controlar el cumplimiento del reglamento, gestionar las incidencias y realizar revisiones y auditorías internas de manera proactiva.

Adopción rápida deL RGPD

Muchas empresas están analizando estas soluciones con el objetivo de adoptar los cambios necesarios impuestos por el RGPD, a la vez que se reducen los costes de operación. La realización de estas tareas mediante actividades manuales hace difícil el cumplimiento del reglamento con la agilidad que este marca y puede generar unos costes operativos muy altos.

Por este motivo, se recomienda el empleo de robots en estas actividades como una manera de cumplir requerimientos y ser eficientes en costes. Las empresas deben pensar en una solución automatizada desde el inicio, empleando API para la trasferencia de datos y soluciones de automatización inteligente para el cumplimiento y reducción de plazos y costes.

FIGURA 1. La respuesta más adecuada se basa en una solución automatizada desde el inicio, empleando API para la trasferencia de datos y soluciones de automatización inteligente para el cumplimiento y reducción de plazos y costes.