Consideraciones inmediatas para la adaptación del RGPD

A pocos días de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) es necesario tener en cuenta los aspectos más significativos que toda empresa (autónomos, pymes y grandes corporaciones) debe tener en cuenta a la hora de adaptar su política de gestión de la información personal de sus clientes, y que han sido identificados por el equipo de especialistas en servicios para empresas y ciberseguridad de la compañía Hiscox.

En opinión de Alan Abreu, responsable de Riesgos Cibernéticos de Hiscox, “la mayoría de las empresas, sobre todo las pymes, se encuentran en un momento de desconcierto y desconocimiento ante la inminente implantación de la nueva normativa. Sin embargo, el nuevo marco puede convertirse en una ventaja competitiva. Las compañías deberían aprovechar el RGPD como catalizador para transformarse en negocios centrados en el cliente, utilizando el nuevo reglamento como base para una relación auténtica y transparente con ellos”.

Por lo tanto, es necesario considerar las siguientes claves para una adecuada gestión del RGPD:

1. Conoce bien tus datos: ¿De dónde provienen? ¿por dónde circulan?

La UE define “datos personales” como “cualquier información de un individuo, ya esté relacionada con su vida privada, profesional o pública”. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un ordenador. Se amplía así el concepto «dato personal» respecto al marco normativo anterior, al incluirse conceptos como ID de dispositivos, datos de ubicación y datos genéticos y biométricos.

2. La figura del responsable y del encargado, y sus respectivas responsabilidades

Por un lado, está el denominado responsable de tratamiento, quien posee los datos y determina sus fines, uso y circulación. Por otro lado, el encargado de tratamiento, quien puede procesar datos personales en nombre del responsable. La obligación de proteger los datos ahora es compartida entre responsables y encargados, y ambos están regidos por el RGPD. Además, los encargados estarán sujetos a sanciones cuando no cumplan con las obligaciones contractuales o actúen fuera de las instrucciones del responsable.

3. ¿Cómo deben ser los datos personales que gestionan?

Deben ser seguros, transparentes, precisos, justos y legalmente adecuados y procesados para un propósito específico. Además, no deben ser conservados más tiempo del necesario y para el propósito para el que se ha procesado.

4. ¿Tenemos consentimiento para recoger y operar con estos datos?

La definición de consentimiento se ajusta de tal manera que debe ser «inequívoca» cuando se produzca, es decir, que el individuo de manera activa haya marcado una casilla o seleccionado la opción de consentimiento. Además, se aplica con carácter retroactivo, por lo que deberemos conseguir el permiso inequívoco también de los datos personales que tenemos ya almacenados.

5. La protección de datos concebida desde el diseño

Ahora la protección de los datos debe ser considerada e integrada en cualquier sistema o proceso desde su propia concepción, tanto en términos de forma en los que se diseñen, como en las políticas y procedimientos establecidos para dictar cómo las personas deberían usarlos.

6. Derecho de acceso a los datos

Las personas aumentan sus derechos en lo que respecta a la forma en que se protegen sus datos personales. Las empresas deben asegurarse de que existen procesos y plantillas adecuadas para que cualquier sujeto que quiera ejercer su derecho sea respondido en un plazo máximo de un mes.

7. Formación: ¿Qué constituye una violación de datos personales?

Debemos asegurarnos de que todas las personas que forman parte de la compañía comprendan qué constituye una violación de datos, así como establecer un proceso para localizar eslabones o procesos internos más débiles.

8. Revisar los términos y condiciones, y los contratos con proveedores

En la adaptación del negocio al RGPD debemos incluir también a aquellos proveedores que procesen datos personales en nuestro nombre o coordinados con nosotros, para asegurarnos de que existe la protección adecuada y exigida en el nuevo marco reglamentario. Por otro lado, cuando los proveedores procesen datos personales en nuestro nombre tendremos la obligación de actualizar nuestros contratos con ellos para incluir una serie de cláusulas obligatorias.

9. Revisar el aviso de privacidad

Ante los nuevos requisitos es probable que nuestra política de privacidad sea más extensa. Tendremos que entrar en más detalles y además, deberá ser comprensible y accesible. El contenido variará si los datos personales recogidos son para nuestro uso o los estamos almacenando para un tercero.

10. ¿Necesito designar a un delegado de protección de datos (DPD)?

Aunque la mayoría de las empresas con menos de 250 empleados estarán exentas, si sus actividades principales implican monitoreo o procesamiento a “gran escala” de datos confidenciales (que incluyan datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, datos relacionados con la salud o la vida sexual), deberán designar un delegado de protección de datos independiente a la dirección de la compañía y al equipo que realice el procesamiento de datos.

¿Qué pasa si vulnero el RGPD?

El RGPD define como “violación de datos personales” una brecha de seguridad que permita la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Las infracciones tendrán que ser informadas a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas en el caso de que sea probable que estén en riesgo los derechos y las libertades de las personas. En el caso de existir un alto riesgo de vulneración de datos personales, las infracciones deberán ser notificadas además a todas las personas afectadas.

El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos. En este sentido, las compañías se exponen además  a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.

Abreu recomienda la externalización parcial o total de  la asesoría jurídica, formación de empleados, análisis de riesgos, revisión de políticas de privacidad y datos, o la contratación de seguros específicos de ciberriesgos que contemplen no solo la cobertura económica, sino toda la gestión necesaria en el caso de que se produzca violación de datos personales.