RGPD

Prepárate para el nuevo Reglamento europeo de Protección de Datos El Mundo Financiero ENTENDER LOS DATOS CON LOS QUE SE TRABAJA Prepárate para el nuevo Reglamento europeo de Protección de Datos · Por Javier Ortega Estrada, Director para el Sur de Europa y Mercados Emergentes de Dropbox Jueves 02 de noviembre de 2017, 09:30h El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos o RGPD (también conocido por sus siglas en inglés “GDPR”), una norma que tendrán que acatar todas las empresas que trabajan con datos personales de ciudadanos de la Unión Europea. Esta nueva regulación supone nuevas e importantes obligaciones para las empresas en cuanto a la gestión de los datos personales; además, para aquellas que vulneren las normas prevé sanciones severas como, por ejemplo, multas de hasta el 4 % del volumen de negocio global o de 20.000.000 €, la cantidad que sea mayor según el caso. Algunos de los cambios más destacados que introduce este nuevo reglamento son los siguientes: nuevas normas sobre cómo notificar a las autoridades los incumplimientos relacionados con la protección de datos; el derecho a la portabilidad de los datos, es decir, el derecho a solicitar los datos personales para poder transferirlos a otros servicios; el derecho al olvido, que implica que la empresa tiene la obligación de borrar los datos de la persona que así lo solicite; la obligación de las empresas en determinados casos de llevar a cabo evaluaciones de impacto sobre la privacidad antes de tratar datos personales; o la obligación que tienen las empresas que realizan determinados tipos de procesamiento de datos de nombrar un encargado de protección de datos. A menos de un año de la entrada en vigor del RGPD, hay muchas empresas que todavía no han empezado a prepararse y tendrán que desarrollar e implementar una estrategia específica para cumplir con el nuevo reglamento europeo. Todas las entidades que tratan con datos personales de ciudadanos de la UE necesitarán diseñar una estrategia a medida que dependerá de varios factores como el tamaño de la empresa, el tipo y la cantidad de datos que tratan y las medidas de seguridad y privacidad que ya tienen implementadas. Se recomienda que las empresas busquen asesoramiento legal para determinar qué medidas son necesarias en cada caso. No obstante, hay varios requisitos sobre cómo tratar los datos personales que son comunes y afectarán a todas las empresas, incluso a las más pequeñas. Entiende los datos con los que trabajas El primer paso para cumplir con el RGPD es entender de qué modo se almacenan, tratan, comparten y utilizan los datos personales en tu empresa. Para llevar a cabo un análisis minucioso de la situación, es necesario comparar el modo de proceder actual con los requisitos de la nueva regulación y pensar en los cambios que hay que realizar para poder cumplir con ella adaptándose de la mejor forma a tu empresa. Recuerda que el cumplimiento del RGPD no afecta solo a las políticas y medidas de tu propia entidad, sino que va más allá y se extiende a los proveedores que procesan datos personales en tu nombre. Decide quién se ocupa de la protección de datos en tu empresa Algunas empresas tendrán la obligación de nombrar un encargado de tratamiento. En todos los casos será necesario adoptar un programa de cumplimiento de protección de datos. Es probable que tengas que reforzar tu política de protección de datos y organizar sesiones de formación para tu equipo. Solo algunas empresas estarán obligadas a seleccionar un encargado de tratamiento. Resulta esencial hacerlo en aquellas que llevan a cabo dos tipos de trabajo – los relacionados con operaciones de tratamiento a gran escala que persiguen tratar diferentes categorías de datos personales o con seguimiento de datos personales a gran escala– como, por ejemplo, los anuncios en línea segmentados por comportamiento. Garantiza que existe una base jurídica en cuanto al tratamiento de datos A tu empresa le interesa revisar la base jurídica que se utiliza actualmente para tratar distintos tipos de datos personales. Si la base del tratamiento de datos es el consentimiento del usuario, será necesario que te plantees cómo obtenerlo y cómo ser capaz de demostrar de forma clara cuándo se concede. Entiende qué derechos tienen los propietarios de los datos Según el RGPD, cualquier persona cuyos datos se traten en tu empresa tiene nuevos derechos, incluyendo el derecho a tener acceso a sus datos personales, a que se corrijan, se borren o se transfieran electrónicamente. ¿En tu empresa podéis encontrar, borrar y trasladar los datos de vuestros clientes fácilmente? ¿Disponéis de los recursos necesarios para responder con rapidez a las consultas relacionadas con los datos personales? ¿Tu empresa, y los terceros con los que trabajáis, guardáis registros de la localización de los datos, de cómo se procesan, de dónde se encuentran y de con quién se comparten? Protege la privacidad de tu empresa por diseño De acuerdo con el RGPD, las empresas tienen que tener en cuenta la privacidad por diseño y desde el principio a la hora de desarrollar proyectos, procesos o productos nuevos. La idea que concibe la privacidad por diseño es que si la privacidad se tiene en cuenta desde un principio, los riesgos de privacidad se minimizan. ¿El acceso a los datos personales está protegido y solo tienen acceso a ellos las personas de tu empresa que los necesitan? En algunos casos, es conveniente que realices evaluaciones de impacto sobre la privacidad antes de tratar datos personales. Prepárate para gestionar los incumplimientos Será necesario que tu empresa cuente con una política de gestión de incumplimientos de protección de datos y con los procesos correspondientes para hacerlo. Asegúrate de que sabes a qué autoridades tienes que notificar dichos incumplimientos relacionados con la protección de datos y el tiempo que tienes para hacerlo. Las notificaciones que se hagan fuera de plazo, y los incumplimientos en sí, pueden implicar la imposición de multas. Proporciona la información esencial El RGPD te obliga a informar a las personas de la base jurídica del tratamiento de datos y de las autoridades a las que pueden dirigirse en caso de que surja algún problema. Asegúrate de que las políticas de privacidad en línea de tu empresa están actualizadas. Trabaja con tus proveedores Para poder cumplir con las normas del RGPD es necesario que tengas en cuenta la seguridad de tus datos de principio a fin, es decir, también tienes que considerar a los proveedores que tratan datos personales en tu nombre. Trabajar con un proveedor que se encargue del tratamiento de datos no te exime de las obligaciones del RGPD. Debes valorar si la empresa encargada de tratar los datos trabaja con estándares de protección de datos internacionales, si tiene experiencia en gestionar la seguridad de los datos a gran escala y si dispone de herramientas que puedan ayudarte a mejorar la gobernanza de datos y a mitigar los riesgos de incumplimiento. Revisa si tu proveedor cuenta con algún estándar internacional de seguridad y protección de datos como la ISO 27018 y pídele información sobre su seguridad de red y de información (por ejemplo, su técnica de encriptación y sus controles a nivel de aplicación), política de seguridad, evaluación de formación y riesgos, así como medidas de ensayo. Por otra parte, los servicios TI de terceros también pueden ayudar a las empresas, especialmente a las PYMES, a cumplir con la regulación. Por ejemplo, las empresas pueden optar por soluciones en la nube que se crearon teniendo en cuenta cuestiones de seguridad y privacidad desde el principio. Valora cómo algunos servicios en la nube pueden ayudarte a controlar el acceso a los datos en tu empresa, a responder a las solicitudes de información sobre datos personales y a mejorar la seguridad en tu empresa.