La plena entrada en vigor del Reglamento General de Protección de Datos (RGPD) el próximo 25 de mayo ha sumido a la mayoría de las empresas, especialmente a las pymes en una situación de desconcierto. Sin embargo, los expertos ven el momento como una oportunidad para tomar ventaja competitiva reforzando la relación con el cliente a través de la autenticidad y la transparencia.
«Las compañías deberían aprovechar el RGPD como catalizador para transformarse en negocios centrados en el cliente», señala Alan Abreu, responsable de riesgos cibernéticos de la aseguradora Hiscox, que ha elaborado un decálogo que recoge los aspectos más importantes que las empresas deben cuidar ante el nuevo marco normativo europeo.
Las 10 claves para cumplir con el Reglamento General de Protección de Datos son:
1. Conoce bien los datos
La UE define “datos personales” como “cualquier información de un individuo, ya esté relacionada con su vida privada, profesional o pública”. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un ordenador. Se amplía así el concepto dato personal respecto al marco normativo anterior, al incluirse conceptos como ID de dispositivos, datos de ubicación y datos genéticos y biométricos.
2. La figura del responsable y del encargado, y sus respectivas responsabilidades
Por un lado, está el denominado responsable de tratamiento, quien posee los datos, y determina sus fines, uso y circulación. Por otro lado, el encargado de tratamiento, quien puede procesar datos personales en nombre del responsable. La obligación de proteger los datos ahora es compartida entre responsables y encargados, y ambos están regidos por el RGPD. Además, los encargados estarán sujetos a sanciones cuando no cumplan con las obligaciones contractuales o actúen fuera de las instrucciones del responsable.
3. ¿Cómo deben ser los datos personales que gestionan?
Los datos personales deben ser: seguros, transparentes, precisos, justos y legalmente adecuados y procesados para un propósito específico. Además, no deben ser conservados más tiempo del necesario y para el propósito para el que se ha procesado.
4. ¿Hay consentimiento para recoger y operar con estos datos?
La definición de consentimiento se ajusta, de manera que debe ser «inequívoca» cuando se produzca, es decir, que el individuo de manera activa haya marcado una casilla o seleccionado la opción de consentimiento. Además se aplica con carácter retroactivo, por lo que deberemos conseguir el permiso inequívoco también de los datos personales que tenemos ya almacenados.
5. La protección de datos concebida desde el diseño
Ahora la protección de los datos debe ser considerada e integrada en cualquier sistema o proceso desde su propia concepción, tanto en términos de forma en los que se diseñen, como en las políticas y procedimientos establecidos para dictar cómo las personas deberían usarlos.
6. Derecho de acceso a los datos
Las personas aumentan sus derechos en lo que respecta a la forma en que se protegen sus datos personales. Las empresas deben asegurarse de que existen procesos y plantillas adecuadas para que cualquier sujeto que quiera ejercer su derecho sea respondido en un plazo máximo de un mes.
7. Formación: ¿qué constituye una violación de datos personales?
Hay que cerciorarse de que todas las personas que forman parte de la compañía comprendan qué constituye una violación de datos, así como establecer un proceso para localizar eslabones o procesos internos más débiles.
8. Revisar los términos y condiciones, y los contratos con proveedores
En la adaptación del negocio al Reglamento General de Protección de Datos (RGPD) hay que incluir también a aquellos proveedores que procesen datos personales en nuestro nombre o coordinados con nosotros, para asegurarnos de que existe la protección adecuada y exigida en el nuevo marco reglamentario.
Además, cuando los proveedores procesen datos personales en nuestro nombre tendremos la obligación de actualizar nuestros contratos con ellos para incluir una serie de cláusulas obligatorias.
9. Revisar el aviso de privacidad
Ante los nuevos requisitos es probable que nuestra política de privacidad sea más extensa. Tendremos que entrar en más detalles, y además deberá ser comprensible y accesible. El contenido variará si los datos personales recogidos son para nuestro uso o los estamos almacenando para un tercero.
10. ¿Necesito designar a un delegado de protección de datos (DPD)?
Aunque la mayoría de las empresas con menos de 250 empleados estarán exentas, si sus actividades principales implican monitoreo o procesamiento a “gran escala” de datos confidenciales (que incluyan datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, o datos relacionados con la salud o la vida sexual), deberán designar un delegado de protección de datos independiente a la dirección de la compañía y al equipo que realice el procesamiento de datos.
Consecuencias de vulnerar el RGPD
El RGPD define como “violación de datos personales” una brecha de seguridad que permita la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Las infracciones tendrán que ser informadas a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas en el caso de que sea probable que estén en riesgo los derechos y las libertades de las personas. En el caso de existir un alto riesgo de vulneración de datos personales, las infracciones deberán ser notificadas además a todas las personas afectadas.
El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.
Las compañías se exponen además a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.
“La nueva normativa supone para la gran mayoría de las empresas un esfuerzo no sólo económico, sino también de recursos, con el fin de adaptar las corporaciones al nuevo terreno de juego. Tanto la comunicación a la AEPD en el mejor de los casos, como a todas las personas implicadas en los casos más graves, es una carga burocrática de trámites administrativos que muchas pymes y grandes corporaciones no pueden abarcar. Todo ello sin mencionar la carga económica que supone tener que afrontar las multas”, explica Alan Abreu, que recomienda la externalización parcial o total de este tipo de aspectos como la asesoría jurídica, formación de empleados, análisis de riesgos, revisión de políticas de privacidad y datos, o la contratación de seguros específicos de ciberriesgos.