Autónomos, pymes y grandes corporaciones se enfrentan este mismo mes de mayo, concretamente el próximo día 25, a la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD). Hacer que esta norma se convierta en un aliado es posible y, por ello, la firma aseguradora Hiscox ofrece diez claves que las compañías deben tener en cuenta a la hora de adaptar su política de gestión de la información personal de sus clientes.
Alan Abreu, responsable de Riesgos Cibernéticos de Hiscox, recuerda al respecto que buena parte de las empresas, sobre todo las pymes, se encuentran en un "momento de desconcierto y desconocimiento ante la inminente implantación de la nueva normativa". "Sin embargo, el nuevo marco puede convertirse en una ventaja competitiva. Las compañías deberían aprovechar el RGPD como catalizador para transformarse en negocios centrados en el cliente, utilizando el nuevo reglamento como base para una relación autentica y transparente con ellos", apunta este experto.
Así, las 10 claves para cumplir con el RGPD son:
1.- Conoce bien tus datos. ¿de dónde provienen? ¿por dónde circulan? La UE define 'datos personales' como "cualquier información de un individuo, ya esté relacionada con su vida privada, profesional o pública". Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un ordenador. Se amplía así el concepto 'dato personal' respecto al marco normativo anterior, al incluirse conceptos como ID de dispositivos, datos de ubicación y datos genéticos y biométricos.
Los encargados serán sancionados cuando no cumplan con las obligaciones contractuales o actúen fuera de las instrucciones del responsable
2.- La figura del responsable y del encargado y sus respectivas responsabilidades. Por un lado, está el denominado responsable de tratamiento, quien posee los datos, y determina sus fines, uso y circulación. Por otro lado, el encargado de tratamiento, quien puede procesar datos personales en nombre del responsable. La obligación de proteger los datos ahora es compartida entre responsables y encargados y ambos están regidos por el RGPD. Además, los encargados estarán sujetos a sanciones cuando no cumplan con las obligaciones contractuales o actúen fuera de las instrucciones del responsable.
3.- ¿Cómo deben ser los datos personales que gestionan? Los datos personales deben ser: seguros, transparentes, precisos, justos y legalmente adecuados y procesados para un propósito específico. Además, no deben ser conservados más tiempo del necesario y para el propósito para el que se ha procesado.
4.- ¿Tenemos consentimiento para recoger y operar con estos datos? La definición de consentimiento se ajusta, de manera que debe ser "inequívoca" cuando se produzca, es decir, que el individuo de manera activa haya marcado una casilla o seleccionado la opción de consentimiento. Además se aplica con carácter retroactivo, por lo que deberemos conseguir el permiso inequívoco también de los datos personales que tenemos ya almacenados.
5.- La protección de datos concebida desde el diseño. Ahora la protección de los datos debe ser considerada e integrada en cualquier sistema o proceso desde su propia concepción, tanto en términos de forma en los que se diseñen, como en las políticas y procedimientos establecidos para dictar cómo las personas deberían usarlos.
Las empresas deben asegurarse de que existen procesos para que cualquier sujeto que quiera ejercer su derecho sea respondido en un plazo máximo de un mes
6.- Derecho de acceso a los datos. Las personas aumentan sus derechos en lo que respecta a la forma en que se protegen sus datos personales. Las empresas deben asegurarse de que existen procesos y plantillas adecuadas para que cualquier sujeto que quiera ejercer su derecho sea respondido en un plazo máximo de un mes.
7.- Formación: ¿qué constituye una violación de datos personales? Debemos asegurarnos de que todas las personas que forman parte de la compañía comprendan qué constituye una violación de datos, así como establecer un proceso para localizar eslabones o procesos internos más débiles.
8.- Revisar los términos y condiciones y los contratos con proveedores. En la adaptación del negocio al RGPD debemos incluir también a aquellos proveedores que procesen datos personales en nuestro nombre o coordinados con nosotros, para asegurarnos de que existe la protección adecuada y exigida en el nuevo marco reglamentario. Además, cuando los proveedores procesen datos personales en nuestro nombre tendremos la obligación de actualizar nuestros contratos con ellos para incluir una serie de cláusulas obligatorias.
9.- Revisar el aviso de privacidad. Ante los nuevos requisitos es probable que nuestra política de privacidad sea más extensa. Tendremos que entrar en más detalles, y además deberá ser comprensible y accesible. El contenido variará si los datos personales recogidos son para nuestro uso o los estamos almacenando para un tercero.
10.- ¿Necesito designar a un delegado de protección de datos (DPD)? Aunque la mayoría de las empresas con menos de 250 empleados estarán exentas, si sus actividades principales implican monitoreo o procesamiento a “gran escala” de datos confidenciales (que incluyan datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, o datos relacionados con la salud o la vida sexual), deberán designar un delegado de protección de datos independiente a la dirección de la compañía y al equipo que realice el procesamiento de datos.
POSIBLE VIOLACIÓN DE LA NORMA
Ahora bien, ¿qué pasa si se viola la RGPD? El Reglamento define como "violación de datos personales" una brecha de seguridad que permita la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Las infracciones tendrán que ser informadas a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas en el caso de que sea probable que estén en riesgo los derechos y las libertades de las personas. En el caso de existir un alto riesgo de vulneración de datos personales, las infracciones deberán ser notificadas además a todas las personas afectadas.
El incumplimiento del RGPD podría dar lugar a una investigación regulatoria
Además, Hiscox recuerda que el incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.
Las compañías se exponen asimismo a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.
"La nueva normativa supone para la gran mayoría de las empresas un esfuerzo no sólo económico, sino también a nivel de recursos, con el fin de adaptar las corporaciones al nuevo terreno de juego. Tanto la comunicación a la AEPD en el mejor de los casos, como a todas las personas implicadas en los casos más graves, es una carga burocrática de trámites administrativos que muchas pymes y grandes corporaciones no pueden abarcar. Todo ello sin mencionar la carga económica que supone tener que afrontar las multas", argumenta Alan Abreu.
En este sentido, este experto recomienda "la externalización parcial o total de este tipo de aspectos como la asesoría jurídica, formación de empleados, análisis de riesgos, revisión de políticas de privacidad y datos, o la contratación de seguros específicos de ciberriesgos que contemplen no sólo la cobertura económica, sino toda la gestión necesaria en el caso de que se produzca violación de datos personales".
