El futuro de las empresas en vísperas del GDPR

¿Saben las empresas cómo adaptarse al Reglamento Europeo de Protección de Datos? ¿Son conscientes de que seguir los dictados de la Unión Europea tiene prioridad absoluta? ¿Les dará tiempo antes del 25 de mayo de 2018 de adecuar su infraestructura tecnológica?

El nuevo Reglamento Europeo de Protección de Datos (GDPR) entrará en vigor el 25 de mayo de 2018 y resulta fundamental que las empresas tomen conciencia de la importancia de adaptarse a esta disposición de la Unión Europea porque si no las consecuencias monetarias pueden ser fatales. El nuevo reglamento resulta especialmente contundente en lo que respecta a las sanciones por su incumplimiento, suponiendo entre el 4% de los ingresos de la compañía o 20 millones de euros en concepto de multas.

En el reglamento se puede apreciar el esfuerzo de los legisladores europeos para garantizar la protección de los datos personales de los interesados en aspectos como:

  • Derecho al olvido.
  • Limitación del tratamiento de los datos.
  • El replanteamiento de la obtención del consentimiento.
  • Mayores posibilidades de control de la seguridad de los datos personales por parte del usuario.

Curso online del Reglamento Europeo de Protección de Datos (GDPR)

En la siguiente infografía, Normadat ofrece 9 pasos para adaptarse al GDPR:

Que resumiéndolos recuerdan a aquel aforismo griego inscrito en el pronaos del templo de Apolo en Delfos:

Conócete a ti mismo.

Lo cual quiere decir que la víspera de la entrada en vigor del GDPR es el momento idóneo para que las empresas hagan una revisión completa de sus procesos, de la información que guardan y de las condiciones de seguridad con la que operan con la finalidad de volver a buscar la excelencia. ¿Qué aspectos deberían de revisarse en estos momentos?

  • El almacenamiento y acceso a los datos personales.
  • Las condiciones de seguridad de los procedimientos corporativos.
  • El modo en el que se consigue y registra el consentimiento.
  • La forma de proteger los datos personales en relación con los activos del negocio.
  • Los medios para incoporar en la cultura empresarial el valor de respetar los datos personales.
  • La formulación y distribución de las normas de privacidad.
  • La adaptación de las políticas legales al nuevo reglamento.
  • La forma de anticiparse a las posibles brechas de seguridad.
  • La ideneidad u obligatoriedad de contar con un Delegado de Protección de Datos.

Las empresas españolas que ya estén adaptadas a la Ley nacional de protección de datos están de enhorabuena, ya que la LOPD está muy en sintonía con el nuevo Reglamento al establecer que:

Todo tratamiento de datos personales necesita apoyarse en una base que lo legitime.

Muchos cambios del nuevo Reglamento serán ventajosos…

El nuevo concepto de “privacidad por diseño y por defecto” busca que la protección de datos  nazca desde el primer atisbo de diseño del servicio y/o tratamiento. Frente a la reducida efectividad en relación a la protección de datos  que ha demostrado tener la comunicación previa a la AGPD de los ficheros de datos personales, ahora se establece la obligación de efectuar un análisis de riesgos que permitirá canalizar las actuaciones hacia los casos en los que no proteger suponga un alto riesgo para los interesados. Se trata de una medida de actuación eficaz en lugar de actuar por defecto.

Del consentimiento tácito pasamos al consentimiento explícito. ¿Qué sígnifica este cambio exactamente? Por ejemplo, en un asunto ya tan cotidiano como la aceptación de las cookies de los sitios web ahora, debido a su regulación por el Reglamento de e-privacy los avisos informativos se sustituirán por la configuración de privacidad del navegador y la dirección IP pasa a considerarse un dato de carácter personal.

El nuevo reglamento se fundamenta en el respeto y cumplimiento de los derechos ARCO e introduce los nuevos derechos de limitación del tratamiento y la portabilidad. Adaptándose al ámbito digital, ofrece la posibilidad del borrado de datos (una variante de los derechos de cancelación y oposición) y camina hacia el derecho al olvido que permite la eliminación de los datos personales teniendo en cuenta una serie de supuestos muy concretos, como cuando la información es obtenida de forma ilícita o que un usuario quiera que deje ser indexada por los buscadores. El derecho a la portabilidad supone la exigencia a las empresas de que utilicen un formato normalizado (formato estructurado, de uso común y de lectura mecánica) cuando cedan nuestros datos a otra entidad. La limitación de tratamiento implica que el interesado podrá decidir que a sus datos personales no se le apliquen operaciones de tratamiento.

Respecto a las organizaciones, incluye el principio de responsabilidad proactiva y el enfoque del riesgo. La responsabilidad proactiva se refiere a la capacidad de una empresa de reunir el conjunto de medidas técnicas y organizativas necesarias para demostrar que su tratamiento de datos personales cumple con el Reglamento. El enfoque de riesgo evalua las características intrínsecas de las organizaciones y su nivel de riesgo con respecto al tratamiento de datos personales. En resumen, se trata de la aplicación de medidas de control sobre cómo las organizaciones están realizando la preservación de los datos personales, teniendo en cuenta factores determinantes como la naturaleza de los datos, el número de interesados afectados, la cantidad y variedad de tratamientos, su ámbito, el contexto, los fines del tratamiento y el riesgo inherente a éste, con la finalidad de salvaguardar los derechos y libertades de las personas.

En respuesta a estas medidas de control, las organizaciones y entidades deben tomar conciencia y como consecuencia comenzar a:

  • Ser diligentes en la salvaguarda de sus datos.
  • Implementar procesos normalizados para la obtención del consentimiento explícito.
  • Tener desarrollado un plan de acción que les permita aplicar correctamente el GDPR, desde las primeras fases de análisis de la situación inicial hasta el método que usarán para el tratamiento y custodia de los datos personales que manejen.

Se trata de un proceso dinámico que se caracteriza por la adaptación y revisión continua de la adecuación del Reglamento europeo a la gestión diaria de la empresa. La adaptación implica un cambio de conciencia y su integración en la cultura corporativa. También supondrá un cambio operacional y tecnológico, con lo que en muchas organizaciones supondrá una revisión total de sus flujos de trabajo y formas de funcionamiento, e incluso la creación de puestos de trabajo internos o su externalización en lo que respecta al Delegado de Protección de Datos.

¿Qué implicará el GDPR desde un punto de vista tecnológico?

A pesar de la inminencia de la entrada en vigor del Reglamento, muchas organizaciones apenas están comenzando a implementar los procesos y tecnologías necesarios para adaptar su organización a las exigencias de la disposición europea. En este caso, al tratarse de la normativa de protección de datos más estricta del mundo, no conviene complicarse demasiado con infinidad de aplicaciones sino contar con una herramienta que ofrezca la capacidad de procesar, utilizar y almacenar los datos en condiciones de seguridad y al mismo tiempo ofrezca un manejo amigable y transparente para el usuario.

Las empresas que faciliten la adaptación de las organizaciones al GDPR deben ofrecerles un sistema de información que garantice el <<derecho al olvido>> del usuario; la calificación de la información en base a diferentes niveles de privacidad y confidencialidad; y ofrezca herramientas de gestión documental que permitan notificar cualquier incidente a la autoridad competente dentro de las primeras 72 horas de haberse producido el hecho.

En los casos en los que ya se disponga de estas herramientas, sería recomendable realizar un análisis del estado de situación para determinar si la empresa y el entorno informático están preparados para cumplir con el GDPR., y eso también nos lleva a introducir cambios positivos que agilizan la gestión como por ejemplo:

  • Eliminación de datos innecesarios.
  • Aplicación correcta de las reglas de eliminación.
  • Definición y redefinición correcta del derecho de acceso.

Un gestor documental bien optimizado permitirá, en relación con el GDPR, ejecutar los procesos y tareas asociados a su cumplimiento en lapsos limitados de tiempo y facilitará el mayor control de los datos por parte del usuario:

  • El gestor documental puede permitir a los usuarios descargar cómodamente sus datos personales en formato csv.
  • Los documentos que contienen los datos personales de cada usuario pueden ser etiquetados con metadatos concretos para que sean reconocibles de forma inequívoca.
  • Los consentimientos de los usuarios pueden ser almacenados y recuperados como un tipo documental relevante para la organización.
  • La generación de informes permitirá demostrar en cualquier momento el grado de cumplimiento con la GDPR ante procesos de revisión y auditorías.
  • Para mantener la conformidad constante con la GDPR se pueden emplear los flujos de trabajo en funciones  como la  captura de consentimientos, la modificación y eliminación de datos personales y la atención y registro de solicitudes de entrega de datos.

Queda poco margen en términos de tiempo para adecuarse a la normativa, pero con las herramientas adecuadas, se puede conseguir una transición rápida. Muchas organizaciones requieren cada vez más de que sus procesos sean automatizados y en lo que respecta a la protección de datos personales el software de gestión documental no debería presentar una excepción. En definitiva, no solo la intención o el trabajo jurídico son necesarios para cumplir con el GDPR, sino que el uso de las herramientas tecnológicas adecuadas puede garantizar la integración de los dictados de Europa a través de un proceso racional que no resulte traumático e influya negativamente en el ritmo del resto de actividades de la empresa.

Curso online del Reglamento Europeo de Protección de Datos (GDPR)

Créditos

Infografía credit | https://www.normadat.es/

Delfos | Frank Fleschner de Kirksville, United StatesFlickr

Image credit | http://globbpartner.com/

RSS Últimos Cursos Publicados

One thought on “El futuro de las empresas en vísperas del GDPR

  1. Pingback: Curso online del Reglamento Europeo de Protección de Datos (GDPR) – Dokumentalistas