El próximo 25 de mayo finaliza el plazo de dos años dado por la Unión Europea a los diferentes Estados miembros para que las empresas, sea cual sea su tamaño, cumplan con los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD). Con este nuevo reglamento, la UE quiere ofrecer más control a los ciudadanos sobre su información personal en el contexto de la era digital (redes sociales, geolocalización a través de dispositivos, etc…), reduciendo las cargas administrativas y facilitando su aplicación por parte de las empresas europeas. Su objetivo es doble: concienciar sobre la privacidad de las personas y las empresas, ampliando los derechos de los usuarios y las obligaciones de las empresas, y armonizar todas las leyes de privacidad de datos en la UE. Ya no va a ser suficiente cumplir con la legislación sobre protección de datos de cada país —en España, la Ley Orgánica de Protección de Datos (LOPD), sino que se deberá “garantizar un estándar” de cumplimiento europeo.

En este momento, la consultora experta en rendimiento empresarial Ayming aconseja a las empresas iniciar un proceso de adecuación progresivo y continuo en sus procesos internos para cumplir con esta normativa, máxime cuando se ha impuesto un régimen sancionador. Porque la no adaptación al citado reglamento por parte de las empresas puede implicar una sanción monetaria, a partir del 2% del volumen de negocio, y tener consecuencias penales. En el caso de que la falta sea grave, puede llegar al 4% de la facturación global consolidada. Por tanto, una multa que antes de la entrada en vigor del RGDP era de 150.000 euros, podría ascender a tres millones.

Si tenemos en cuenta el plazo de adaptación y las sanciones, las empresas que todavía están en proceso, o no han empezado con los trámites para garantizar el cumplimiento de la norma europea, deberán acelerar en la implantación del RGPD, teniendo en cuenta estas cuestiones, según Ayming:
♦ Transformar su gobierno y prácticas (nuevos roles y procesos).
♦ Proteger los datos estructurados y no estructurados a lo largo de su ciclo de vida.
♦ Detectar y notificar infracciones y filtraciones de datos dentro de las 72 horas siguientes a su detección.
♦ Reducir los costes de IT y de seguridad.

Requisitos de alta prioridad
Eduardo Ochoa, manager del Departamento de Operations Performance en Ayming, advierte de que “este cumplimiento conlleva un alto nivel de exigencia. Independientemente de la sensibilidad de los datos personales que se traten, hay que tener en cuenta los registros y el control de accesos; la gestión de derechos de acceso; la gestión de altas y bajas en el registro de accesos; que el procedimiento sea seguro; la gestión de contraseñas de usuario; la trazabilidad de los datos, el back up (copia de seguridad) y cifrado de la información, etc.”. En esta línea, la recomendación de Ayming es centrarse en los siguientes requisitos de alta prioridad:
1. Determinar el papel de nuestra organización bajo el RGPD. Cualquier organización que decida por qué y cómo se controlan los datos, es controladora de datos. Por tanto, deberá evaluar qué impacto tendrá en ella el RGPD y tomar las medidas necesarias para su aplicación.
2. Designar un Oficial de Protección de datos. Ya sean pymes, grandes empresas u organizaciones públicas, están obligadas a designar un Oficial de Protección de datos (DPO). Según el reglamento están obligadas:

• Todas las autoridades y organismos públicos (con independencia de los datos que procesen)
• Empresas o entidades que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala.
• Empresas o entidades que procesen categorías especiales de datos personales a gran escala, esto es, aquellos que revelan la afiliación sindical, datos genéticos, datos biométricos y datos relativos a la salud.
• Los proveedores de servicios que accedan a datos personales (encargados del tratamiento) y que cumplan cualquiera de los puntos anteriores.

3. Demostrar responsabilidad en todas las actividades de procesamiento de datos. Las organizaciones tienen que identificar uno por uno todos los procesos en los que están involucrados datos personales. En el futuro, la calidad y relevancia de los datos se deberán analizar antes de iniciar cualquier actividad de procesamiento.

4. Comprobar el intercambio de datos de manera global. Hay que analizar todos los países a los cuales hay una trasferencia de información, independientemente de si están o no dentro de la UE. En el caso de que la información se transfiera fuera de la UE habrá que asegurar ese intercambio de información, así como organizaciones de fuera de la UE, que traten datos de residentes en la UE.

5. Prepararse para cuando cualquier sujeto pueda ejercer sus derechos. Los sujetos de los datos tienen derechos ampliados bajo el RGPD: derecho a ser olvidados, a la portabilidad de datos y a ser informados (por ejemplo, en caso de una violación de datos). Si una empresa aún no está preparada para manejar los incidentes de violación de datos y los sujetos que ejercen sus derechos, ahora es el momento de comenzar a implementar controles adicionales.

En definitiva, las organizaciones deberán revisar su organigrama y procedimientos internos para garantizar que todos, desde el CEO hasta los departamentos de gestión de personas, de marketing o financiero, tengan en cuenta los principios de protección de datos. Los expertos de Ayming apuntan a cuatro fases para logar una implantación de manera efectiva en tiempo y forma:

 

 

 

 

 

 

 

Se debe establecer con urgencia un mapa detallado del procesamiento, implementado la manera en que se recopilan los datos, la ubicación de los mismos, los posibles destinatarios de éstos, así como las medidas ya implantadas para garantizar  la protección de los datos. Este es un diagnóstico que requiere tiempo y recursos que serán más caros cuanto menos tiempo se disponga.

Eduardo Ochoa advierte que tras llegar al 25 de mayo del 2018 con todos los cambios realizados y las adaptaciones y medidas técnicas hechas: “Hay que realizar auditorías anuales, para asegurar que el trabajo se lleva a cabo de manera correcta y se van implementado todos los cambios que puedan surgir después de la aplicación del reglamento”. Y resume finalmente Ochoa las claves del RGPD: “El consentimiento debe ser inequívoco; claridad y sencillez de la información a los interesados; nuevos derechos; responsable encargado; nueva figura del delegado de protección de datos; medidas de seguridad; registro de actividades de tratamiento; notificación de ‘violaciones de seguridad de datos’; transferencias internacionales; código de conducta y valoración general.

 

Más información
⇒ En la web de Ayming
⇒ Seguir en Twitter a Ayming : @ayming_es