Decálogo para cumplir los requisitos del RGPD



mediación

El decálogo forma parte de una guía sobre el Reglamento General de Protección de Datos (RGPD) elaborada por Hiscox, que recoge los principales aspectos que las empresas españolas deben tener en cuenta ante el nuevo marco normativo europeo

Hiscox presenta las “10 claves para cumplir con los requisitos del Reglamento General de Protección de Datos (RGPD)” que entrará en vigor dentro de dos semanas, el próximo 25 de mayo. Se trata de los diez aspectos más significativos que toda empresa (autónomos, pymes y grandes corporaciones) debe tener en cuenta  a la hora de adaptar su política de gestión de la información personal de sus clientes, y que han sido identificados por el equipo de especialistas en servicios para empresas y ciberseguridad de Hiscox.

Alan Abreu, responsable de Riesgos Cibernéticos de Hiscox, señala que “la mayoría de las empresas, sobre todo las pymes, se encuentran en un momento de desconcierto y desconocimiento ante la inminente implantación de la nueva normativa. Sin embargo, el nuevo marco puede convertirse en una ventaja competitiva. Las compañías deberían aprovechar el RGPD como catalizador para transformarse en negocios centrados en el cliente, utilizando el nuevo reglamento como base para una relación autentica y transparente con ellos”.

Las 10 claves para cumplir con el RGPD son:

  1. Conoce bien tus datos: ¿de dónde provienen? ¿por dónde circulan?

La UE define “datos personales” como “cualquier información de un individuo, ya esté relacionada con su vida privada, profesional o pública”. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un ordenador. Se amplía así el concepto dato personal respecto al marco normativo anterior, al incluirse conceptos como ID de dispositivos, datos de ubicación y datos genéticos y biométricos.

  1. La figura del responsable y del encargado, y sus respectivas responsabilidades

Por un lado, está el denominado responsable de tratamiento, quien posee los datos, y determina sus fines, uso y circulación. Por otro lado, el encargado de tratamiento, quien puede procesar datos personales en nombre del responsable. La obligación de proteger los datos ahora es compartida entre responsables y encargados, y ambos están regidos por el RGPD. Además, los encargados estarán sujetos a sanciones cuando no cumplan con las obligaciones contractuales o actúen fuera de las instrucciones del responsable.

  1. ¿Cómo deben ser los datos personales que gestionan?

Los datos personales deben ser: seguros, transparentes, precisos, justos y legalmente adecuados y procesados para un propósito específico. Además, no deben ser conservados más tiempo del necesario y para el propósito para el que se ha procesado.

  1. ¿Tenemos consentimiento para recoger y operar con estos datos?

La definición de consentimiento se ajusta, de manera que debe ser «inequívoca» cuando se produzca, es decir, que el individuo de manera activa haya marcado una casilla o seleccionado la opción de consentimiento. Además se aplica con carácter retroactivo, por lo que deberemos conseguir el permiso inequívoco también de los datos personales que tenemos ya almacenados.

  1. La protección de datos concebida desde el diseño

Ahora la protección de los datos debe ser considerada e integrada en cualquier sistema o proceso desde su propia concepción, tanto en términos de forma en los que se diseñen, como en las políticas y procedimientos establecidos para dictar cómo las personas deberían usarlos.

  1. Derecho de acceso a los datos

Las personas aumentan sus derechos en lo que respecta a la forma en que se protegen sus datos personales. Las empresas deben asegurarse de que existen procesos y plantillas adecuadas para que cualquier sujeto que quiera ejercer su derecho  sea respondido en un plazo máximo de un mes.

  1. Formación: ¿qué constituye una violación de datos personales?

Debemos asegurarnos de que todas las personas que forman parte de la compañía comprendan qué constituye una violación de datos, así como establecer un proceso para localizar eslabones o procesos internos más débiles.

  1. Revisar los términos y condiciones, y los contratos con proveedores

En la adaptación del negocio al RGPD debemos incluir también a aquellos proveedores que procesen datos personales en nuestro nombre o coordinados con nosotros, para asegurarnos de que existe la protección adecuada y exigida en el nuevo marco reglamentario.

Además, cuando los proveedores procesen datos personales en nuestro nombre tendremos la obligación de actualizar nuestros contratos con ellos para incluir una serie de cláusulas obligatorias.

  1. Revisar el aviso de privacidad

Ante los nuevos requisitos es probable que nuestra política de privacidad sea más extensa. Tendremos que entrar en más detalles, y además deberá ser comprensible y accesible. El contenido variará si los datos personales recogidos son para nuestro uso o los estamos almacenando para un tercero.

  1. ¿Necesito designar a un delegado de protección de datos (DPD)?

Aunque la mayoría de las empresas con menos de 250 empleados estarán exentas, si sus actividades principales implican monitoreo o procesamiento a “gran escala” de datos confidenciales (que incluyan datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, o datos relacionados con la salud o la vida sexual), deberán designar un delegado de protección de datos independiente a la dirección de la compañía y al equipo que realice el procesamiento de datos.

¿Qué pasa si no se cumple el RGPD?

El RGPD define como “violación de datos personales” una brecha de seguridad que permita la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Las infracciones tendrán que ser informadas a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas en el caso de que sea probable que estén en riesgo los derechos y las libertades de las personas. En el caso de existir un alto riesgo de vulneración de datos personales, las infracciones deberán ser notificadas además a todas las personas afectadas.

El incumplimiento del RGPD, bien porque se haya producido un  incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.

Las compañías se exponen además  a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el  2% o 10 millones de euros para cuestiones de índole administrativo.

Alan Abreu señala que “la nueva normativa supone para la gran mayoría de las empresas un esfuerzo no sólo económico, sino también a nivel de recursos, con el fin de adaptar las corporaciones al nuevo terreno de juego. Tanto la comunicación a la AEPD en el mejor de los casos, como a todas las personas implicadas en los casos más graves, es una carga burocrática de trámites administrativos que muchas pymes y grandes corporaciones no pueden abarcar. Todo ello sin mencionar la carga económica que supone tener que afrontar las multas”.

Y añade “por eso se recomienda la externalización parcial o total de este tipo de aspectos como la asesoría jurídica, formación de empleados, análisis de riesgos, revisión de políticas de privacidad y datos, o la contratación de seguros específicos de ciberriesgos que contemplen no sólo la cobertura económica, sino toda la gestión necesaria en el caso de que se produzca violación de datos personales”.

El decálogo forma parte de una completa guía sobre el RGPD elaborada por Hiscox, que recoge los principales aspectos que las empresas españolas deben tener en cuenta ante el nuevo marco normativo europeo. Además, Hiscox ha lanzado un vídeo que explica de forma más visual cómo deben las compañías adaptar su política de gestión de la información personal de sus clientes.

Según Alan Abreu, “en Hiscox aseguramos a más de 300.000 profesionales y compañías de todo el mundo. Tenemos un compromiso con el tejido empresarial, que nos empuja a ir siempre un paso más allá. Por ello, y ante la complejidad que para la mayoría de las pymes y corporaciones españolas supone la adaptación al nuevo marco del RGPD, hemos preparado esta Guía, que busca resolver las principales cuestiones”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *