El plazo para cumplir con el RGPD se está aproximando. ¿Está tu empresa preparada?

El cumplimiento del Reglamento General de Protección de datos (RGPD) será de carácter obligatorio a partir del 25 de mayo de 2018. Descubre lo esencial sobre este reglamento y a la forma en la que PHC está trabajando para proporcionar al mercado información útil para la implementación de las normativas del RGPD, contribuyendo para que tu empresa opere en conformidad con la normativa.

 A partir del 25 de mayo de 2018, la nueva normativa para protección de datos tendrá carácter obligatorio, lo que significa que todas las organizaciones que operen en la Unión Europea (UE) tienen que cumplir forzosamente con este reglamento.  Las empresas que no estén en conformidad percibirán multas que pueden llegar a los 20 millones de euros o al 4 % de su volumen de negocios global. Si hasta algunos meses era necesario que las empresas empezasen a prepararse para las nuevas reglas de privacidad de datos, hoy la definición y aplicación de las reglas definidas en el RGPD es absolutamente fundamental e impostergable para evitar dificultades de última hora y posibles sanciones por incumplimiento.

En este sentido, PHC integra un grupo de trabajo iniciado por la Asociación Portuguesa de Software (ASSOFT).  El Grupo de trabajo Privacidad y Protección de Datos está constituido por representantes de entidades asociadas a ASSOFT e incluye empresas que operan en el área financiera, jurídica y de desarrollo de software. Tiene como objetivo comprender todos los aspectos de la aplicación de este nuevo reglamento en las empresas de las más diversas áreas, así como, proporcionar al mercado un Manual de Buenas Prácticas en la implementación del reglamento del RGPD.

 

¿Qué es el Reglamento General de Protección de Datos?

El Reglamento General de Protección de datos (RGPD) es un reglamento que ya se encuentra en vigor en los países de la Unión Europea (UE) desde 2016 y que será obligatorio a partir del 25 de mayo de 2018. Este nuevo marco legal, que viene a sustituir la actual Ley de Protección de Datos Personales, tiene como fin normalizar la legislación de la protección de datos en toda la UE y eliminar las diferencias entre los regímenes jurídicos de los distintos países, así como añadir aquellos aspectos que estaban en falta en las legislaciones anteriores. Tiene como gran objetivo garantizar la privacidad e integridad de los datos de los consumidores de la UE y define que todos los ciudadanos tienen el derecho de saber cómo se están usando sus datos, así como el derecho de tener sus datos completamente borrados, si fuese necesario.

El RGPD trae muchos beneficios para los titulares de los datos, pero también para las empresas, que tendrán que garantizar políticas de seguridad y protección de datos más eficientes. Sin embargo, exige que las empresas actualizan una serie de procesos para que estén acordes con esta normativa.

 

¿Cuáles son las penalizaciones para las empresas que no lo cumplan?

Es obligatorio que a partir del 25 de mayo de 2018 todas las empresas que operen en la UE cumplan correctamente con el RGPD. Las multas pueden llegar a los 20 millones de euros o al 4 % del volumen de negocios global para las empresas que lo incumplan.

 

¿Qué necesitas cambiar en tu empresa?

El nuevo marco legal supone una serie de cambios que tendrán diferentes consecuencias en la vida de las empresas. Estos impactos varían de acuerdo con el sector de actividad, dimensión y proceso de tratamiento de datos personales por las organizaciones. Le compete a cada organización definir o actualizar sus procesos, involucrando en este trabajo diversas áreas, como el Departamento Jurídico, el Marketing o las áreas de IT. Tu empresa tendrá, por ejemplo, que garantizar que:

  • Cumple con el reglamento;
  • Tiene consentimiento explícito y válido para todos los datos que almacena;
  • Tiene en vigor procesos que le permiten lidiar con las alteraciones;
  • Garantiza que las políticas de privacidad son presentadas de forma clara;
  • Nombra a un responsable de protección de datos en el caso de que la Ley se aplique a su estructura.

 

¿Cómo se puede garantizar que tu empresa cumpla con la normativa?

Con la entrada en vigor de este nuevo reglamento, es necesario que las empresas revisen sus procesos de recopilación y tratamiento de datos personales, existiendo una serie de desafíos internos y externos para obtener la conformidad total con el RGPD. La forma más eficaz de preparar su organización es asegurar la implementación de una estrategia de protección de datos. Esta estrategia empieza por definir e implementar políticas y procedimientos que aseguren que todos los empleados utilizan los datos de personas físicas en conformidad con el reglamento. Aquí se quedan algunas medidas fundamentales para la aplicación del RGPD.

 

Qué procesos son necesarios garantizar

Analizar procesos, entender la forma en la que los datos están siendo tratados e impartir formación dentro de la empresa son aspectos esenciales.

  • Es necesario también revisar los procedimientos internos que garantizan el ejercicio de los derechos de los titulares de los datos, teniendo en cuenta las nuevas exigencias del reglamento en esta área correspondiente a la tramitación de los pedidos, en particular, a los plazos máximos para la respuesta;
  • Revisar impresiones, documentos, políticas de privacidad y todos los textos que presten información a los titulares de los datos, asegurando que está, de hecho, proporcionando la información que la ley exige;
  • Revisar los procesos actuales de transferencia de datos;
  • Asegurar una lista completa de los sistemas y la clasificación del grado de riesgo, por ejemplo, a través de la aplicación de la norma ISO 27001 (confidencialidad, integridad y disponibilidad);
  • En determinados casos (por ejemplo, organismos públicos), en los que empresas cuya actividad principal involucre una monitorización de individuos a larga escala o que realicen tratamientos de datos sensibles será obligatorio el nombramiento de un Responsable de Protección de Datos que será el encargado de asegurar que la organización cumpla con todas las obligaciones legales correspondientes a este tema;
  • Crear niveles de permisos que restrinjan el acceso a los datos con las funciones y necesidades de cada empleado;
  • Garantizar el derecho a la portabilidad de los datos, asegurando la exportación de los datos de clientes de un prestador de servicios para otro sin inconvenientes significativos para aquellos clientes;
  • Enviar los datos personales a sus titulares siempre que se solicite;
  • Ejecutar acciones de formación para los recursos humanos sobre seguridad de información;
  • Aplicar el «Derecho al olvido». Esta es una de las principales novedades introducidas con este reglamento. Las empresas deben borrar los datos personales siempre que se solicite por los titulares. Los datos deben también borrarse cuando ya no son necesarios, debiendo mantenerse solo por el tiempo necesario para proporcionar el producto o servicio.

 

Herramientas tecnológicas que se deberán implantar

Es muy importante adoptar una serie de medidas tecnológicas.

  • Implementar un sistema de detección de intrusos;
  • Garantizar el funcionamiento de un sistema de autenticación y seguridad en el acceso a las redes;
  • Implementar un sistema de copias de seguridad;
  • Encriptar todos los dispositivos que contengan datos de personas físicas. Esto incluye ordenadores, smartphones, tablets y pens USB;
  • Encriptar todos los e-mails que contengan listas de datos personales;
  • Garantizar la encriptación de la información en servicios cloud.

 

Cómo gestionar los datos

Una gestión adecuada de los datos en cuanto a su rastreabilidad es un aspecto fundamental para el cumplimiento del reglamento. Para ello, es necesario garantizar:

  • La rastreabilidad de los datos correspondientes al origen y fecha de introducción;
  • Pruebas de que el titular de los datos ha aceptado los términos del tratamiento de los datos;
  • Una definición clara del objetivo de la recopilación de los datos.

 

Cómo actuar en caso de violación de datos

La violación de datos personales puede conllevar multas muy altas. Hay que apostar por la prevención de ataques y en caso de que se compruebe que hay una violación de datos, actuar en conformidad.

  • En primer lugar, la empresa debe tener definido un plan de emergencia ante posibles violaciones de los datos personales. Este plan deberá activarse en el momento en que se detecte un caso de violación de datos;
  • En caso de violación de datos personales, el responsable por el tratamiento de datos tendrá que notificar a las autoridades competentes en un plazo de 72 horas;
  • El titular de los datos debe ser informado siempre que la violación sea susceptible de comprometer sus derechos y libertades individuales.

 

La importancia del software

En la aplicación de estas medidas es también muy importante asegurar que el software que procesa los datos personales en tu empresa esté preparado para cumplir el reglamento con el fin de garantizar, a su vez, que tu empresa cumpla con la legalidad vigente.

 

¿Quieres saber más sobre el RGPD y cómo el software PHC puede ayudarle a cumplir el reglamento? Haga clic aquí para consultar nuestro espacio informativo sobre el RGPD

 

El blog Business at Speed es una referencia obligatoria para aquellos gestores que quieren mantenerse actualizados en temas de competitividad y excelencia empresarial.

Ve también…