Cargando...
Estás aquí:  Inicio  >  Empresas/ Negocios  >  Artículo actual

El obligado cumplimiento de la protección de datos en las empresas

Por   /   22 marzo, 2018  /   Sin Comentarios

Por Eduardo Ochoa, Manager del departamento de Operations Performance de Ayming, Firma de “business performance.

 

A apenas dos meses para la finalización del periodo de adaptación al Reglamento General de Protección de datos (RGPD), es aconsejable desde luego que las empresas inicien un programa de adecuación progresivo y continuo en sus procesos internos, máxime cuando se ha impuesto un fuerte régimen sancionador.

Lo cierto es que el próximo 25 de mayo finaliza el plazo de 2 años dado por la Unión Europea a los diferentes estados miembros para que las empresas, sea cual sea su tamaño, cumplan con los requisitos establecidos. Con este nuevo reglamento, la Unión Europea quiere ofrecer más control a los ciudadanos sobre su información personal en el contexto de la era digital (redes sociales, geolocalización a través de dispositivos, etc.), reduciendo las cargas administrativas y facilitando su aplicación por parte de las empresas europeas. En cualquier caso, su objetivo es doble: Reglamento de protección de datos de UE, de Pixabayconcienciar sobre la privacidad de las personas y las empresas, ampliando los derechos de los usuarios y las obligaciones de las empresas, y armonizar todas las leyes de privacidad de datos en la Unión Europea.

Así, la no adaptación al citado reglamento por parte de las empresas puede implicar una sanción monetaria del 2% al 4% del volumen de negocio y tener consecuencias a nivel penal. Esto puede tener un impacto muy importante dentro de las empresas, ya que, en el caso de que la falta sea grave, puede llegar por tanto al 4% de la facturación global consolidada. Como ejemplo, una multa que antes de la entrada en vigor del RGDP era de 150.000 euros, podría ascender a 3 millones con la aplicación de la nueva normativa.

De esta manera, si tenemos en cuenta el plazo de adaptación y las sanciones, nos encontramos con un auténtico reto para las empresas que todavía están en proceso o no han empezado con los trámites para garantizar el cumplimiento. Ahora ya no va a ser suficiente cumplir con la Legislación de Protección de Datos de cada país, sino que se deberá “garantizar un estándar” de cumplimiento europeo.

La empresa tiene por tanto que acelerar en la implantación del Reglamento General de Protección de datos (RGPD), teniendo en cuenta los siguientes aspectos:

 Transformar su gobierno y prácticas (nuevos roles y procesos).
 Proteger los datos estructurados y no estructurados a lo largo de su ciclo de vida.
 Detectar y notificar infracciones y filtraciones de datos dentro de las 72 horas siguientes a su detección.
 Reducir los costes de IT y de Seguridad.

En esa línea, no hay que olvidar que este cumplimiento conlleva un alto nivel de exigencia, ya que, independientemente de la sensibilidad de los datos personales que se traten, hay que tener en cuenta desde los registros y el control de accesos, la gestión de derechos de acceso, la gestión de altas y bajas en el registro de accesos, que el procedimiento sea seguro, la gestión de contraseñas de usuario, la trazabilidad de los datos, “back up” y cifrado de la información, etc.

De esta manera, lo más recomendable es centrarse en los siguientes requisitos de alta prioridad para adaptase al RGDP:

  • 1. Determinar el papel de nuestra organización bajo la RGDP. Cualquier organización que decida por qué y cómo se controlan los datos, es controladora de datos, y por lo tanto hay que evaluar qué impacto va a tener y tomar las medidas necesarias para su aplicación.
  • 2. Designar un Oficial de Protección de datos. Ya sean pymes, grandes empresas u organizaciones públicas, todas están obligadas a designar un oficial de protección de datos (DPO). En concreto, están obligadas a ello: todas las autoridades y organismos públicos (con independencia de los datos que procesen); las empresas o entidades que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala; las empresas o entidades que procesen categorías especiales de datos personales a gran escala (los datos personales especiales son aquellos que revelan la afiliación sindical, datos genéticos, datos biométricos y datos relativos a la salud); y los proveedores de servicios que accedan a datos personales (encargados del tratamiento) y que cumplan cualquiera de los puntos anteriores.
  • 3. Demostrar responsabilidad en todas las actividades de procesamiento de datos. Las organizaciones tienen que identificar uno por uno todos los procesos en los que están involucrados datos personales. En el futuro, la calidad y relevancia de los datos se deberán analizar antes de iniciar cualquier actividad de procesamiento.
  • 4. Comprobar el intercambio de datos de manera global. Hay que analizar todos los países a los cuales hay una trasferencia de información, independientemente de si están o no dentro de la Unión Europa. Y así, en el caso de que la información se transfiera fuera de la UE, habrá que asegurar ese intercambio de información, así como organizaciones de fuera de la UE que traten datos de residentes en la UE.
  • 5. Estar preparado para que cualquier sujeto pueda ejercer sus derechos. Los sujetos de los datos tienen derechos ampliados bajo el GDPR. Estos incluyen el derecho a ser olvidados, a la portabilidad de datos y a ser informados (por ejemplo, en caso de una violación de datos). Si una empresa aún no está preparada para manejar los incidentes de violación de datos y los sujetos que ejercen sus derechos ahora es el momento de comenzar a implementar controles adicionales.

Como se puede apreciar, son muchos los cambios. Y de este modo, las empresas deberán establecer una organización y procedimientos internos para garantizar que todos los departamentos (desde el CEO a Recursos Humanos, desde el departamento de Marketing al departamento financiero), tengan en cuenta los principios de protección de datos en todos los niveles de la empresa. En cualquier caso, para logar una implantación de manera efectiva en tiempo y forma, deben seguirse las siguientes cuatro fases: análisis de necesidades; adaptación RGPD, plan de adecuación y auditoria periódica.

Por otra parte, las empresas deberían establecer con urgencia un mapa detallado del procesamiento, implementado la manera en que se recopilan los datos, la ubicación de los mismos, los posibles destinatarios de éstos, así como las medidas ya implementadas para garantizar la protección de los datos. Este es un diagnóstico que requiere tiempo y recursos que serán más caros cuanto menos tiempo se disponga. Además, por último, es preciso recordar que, una vez que las empresas lleguen al 25 de mayo del 2018 con todos los cambios realizados y las adaptaciones y medidas técnicas hechas, empieza la carrera. Después hay que realizar auditorias anuales, para asegurarnos que el trabajo se lleva a cabo de manera correcta y se van implementado todos los cambios que puedan surgir después de la aplicación del reglamento”.

A modo de resumen, las claves de la nueva normativa RGDP son: el consentimiento debe ser inequívoco; claridad y sencillez de la información a los interesados; nuevos derechos; responsable encargado; nueva figura del delegado de protección de datos; medidas de seguridad; registro de actividades de tratamiento; notificación de “violaciones de seguridad de datos”; transferencias internacionales; código de conducta, y valoración general.

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *