DIARIO DIGITAL DE INFORMACIÓN ECONÓMICA Y FINANCIERA -

12 medidas para prepararse para el Reglamento General de Protección de Datos (RGPD)

Informes | Regulación

72_IgnacioChico.jpg

Por Ignacio Chico, Director General de Iron Mountain España

El RGPD entrará en vigor en 2018 y cambiará el modo en que las organizaciones pueden recoger, usar y transferir datos de carácter personal. Para el sector financiero este nuevo reglamento supone un reto importante, siendo la capacidad de aprovechar el valor de la información y los datos de forma eficiente y estratégica fundamental para este negocio. Paralelamente al aumento de los servicios financieros ha ido aumentando también el número de datos a manejar; este incremento entraña potenciales riesgos de seguridad, relacionados con la gestión de documentos e información: pérdida de datos, sistemas desprotegidos, infracción de la legislación, uso indebido de información por parte de terceros…

Se presenta ante nosotros un nuevo clima con una reglamentación más estricta para el que hay que prepararse. Hay un número de medidas importantes que las empresas pueden acometer para enfrentarse con éxito a este nuevo entorno y entender cuáles son sus obligaciones. Las multas multimillonarias que esperan a los que incumplan la ley deberían ser un buen motivo para tomarse el tema en serio y actuar. Nosotros resumimos esas medidas en 12 que, a nuestro juicio, pueden ayudar al sector financiero a allanar el camino hacia el cumplimiento.

1. Aumentar la concienciación

Es esencial comunicar a las personas encargadas de la toma de decisiones los cambios que el RGPD traerá consigo, revisando los documentos de riesgos. Si comprenden el impacto que va a tener, será más probable conseguir su colaboración a corto plazo. Será de gran ayuda evaluar el grado de cumplimiento actual y entender cuáles son los nuevos requisitos de la Ley de Protección de Datos.

2. Localizar la información

Hay que documentar los datos personales: de dónde proceden y con quién se comparten dentro y fuera de la organización y en áreas específicas. Será útil trabajar acotando parcelas, escogiendo – por ejemplo – áreas como recursos humanos o marketing -, examinando cómo y dónde usan la información, estudiando cómo la almacenan y haciendo un seguimiento de dónde va a parar. También podemos considerar la posibilidad de encargar una auditoría externa de información.

3. Revisar y actualizar las notificaciones y políticas de privacidad

Deberemos desarrollar un plan para adaptar nuestras políticas de privacidad a la nueva situación, garantizando la claridad. Las comunicaciones deben ser sencillas de entender para los sujetos de los datos y para los empleados que tienen que cumplir con dichas notificaciones. Es necesario explicar los derechos de acceso, rectificación, cancelación y transferencia a todas las partes implicadas dentro de la empresa.

4. Conocer los derechos de las empresas

Los procedimientos deberían ser conformes a todos los derechos que se conceden a las personas. Estos incluyen: hacer que se corrijan las imprecisiones, borrar la información y no realizar acciones de marketing directo sin consentimiento previo. Hay que asegurarse de saber quién toma las decisiones acerca del borrado y de si los sistemas son compatibles con este proceso y no olvidar explorar la portabilidad de datos y los formatos utilizados para proporcionar información.

Muy aconsejable es buscar copias de datos personales que pueden tener nuestros proveedores. Es posible que los sistemas informáticos antiguos no estén diseñados para borrar información, así que hay que considerar cómo transferir esos datos, bloquear los equipos antiguos o desconectarlos por completo.

5. Estar preparados para solicitudes de acceso

Será necesario actualizar los procedimientos de modo que puedan gestionarse las solicitudes en plazos más cortos y corregir la información que no sea exacta. En el caso de que se reciban muchas solicitudes, puede ser interesante invertir en un proceso digitalizado. Lo ideal será planificar, en cualquier caso, ya que los plazos de solicitud de acceso se están reduciendo de 40 días a un mes, pero las solicitudes complejas se ampliarán a tres meses.

6. Tener una base legal para procesar datos personales

Hay que saber por qué se recogen y utilizan los datos personales y asegurarse de tener una base legal antes de procesarlos, así como ser capaz de explicar intereses legítimos y no solo atender a la solicitud. En este aspecto debemos ser razonables y recordar que no podemos recoger datos personales a menos que tengamos un motivo legal (empleo, prevención del pago de sobornos), un interés empresarial legítimo o el consentimiento plenamente informado y libremente otorgado. Los intereses no pueden entrar en conflicto con los de la persona.

7. Revisar el consentimiento

Evaluar la forma en la que se busca, obtiene y registra el consentimiento. El consentimiento se debe dar de forma libre, específica, informada y no ambigua. No se puede deducir. También hay que recordar que el consentimiento se puede revocar en cualquier momento y que es obligatorio informar a las personas y darles aviso.

8. Cuidar a los niños

Tendremos que plantearnos cómo verificar la edad y recoger el consentimiento de los padres y tutores. La notificación de privacidad debe ser adecuada para niños. Probablemente se definirá a los niños como menores de 13 años.

9. Disponer de procedimientos para violaciones de datos

Antes de la entrada en vigor de la RGPD solo los operadores de servicios de comunicaciones electrónicas disponibles al público estaban obligados a notificar las brechas de información. La nueva normativa obliga ahora todas las organizaciones a notificar al organismo competente cuando se produzca una violación de datos. Establecer procedimientos claros para detectar, informar e investigar violaciones de datos se hacen necesarios, teniendo en cuenta que se debe informar de cualquier violación de los datos en el plazo de 72 horas. No hacerlo puede suponer multas de hasta 10 millones de euros o un 2% del volumen de negocio en todo el mundo.

10. Evaluación del impacto en la protección de datos personales

Determinadas actividades, como el proceso automático o el proceso de datos sensibles a gran escala, requieren una evaluación de impacto sobre la intimidad (EIPD). Además, en particular se deben desarrollar nuevos sistemas y procesos teniendo la privacidad en mente a fin de que las soluciones cumplan con los principios de privacidad. No hay que olvidar los nuevos proyectos para lo cual es aconsejable consultar con el departamento de TI con el fin de que consideren la privacidad antes de adquirir o desarrollar nuevas soluciones.

11. Designar un responsable de protección de datos

Las organizaciones que supervisan de forma rutinaria los datos o que procesan datos sensibles a gran escala deben contratar a un responsable de protección de datos. Este cumplimiento se debe tomar muy en serio. Tanto si se opta por un asesor externo como por un responsable de protección de datos dentro del equipo, alguien con el conocimiento, la autoridad y los recursos adecuados debería asumir la responsabilidad.

12. Ver el panorama global

Si se opera en otros países, hay que determinar bajo qué autoridad supervisora de protección de datos se encuentra la empresa. La sede principal habitualmente es la que define la autoridad bajo la que recae. Pero no se debe ignorar qué y dónde se guardan los datos. Un mapa con todos los depósitos puede ayudar a preparar el cambio.

Las empresas europeas ya están acostumbradas a asegurar que los datos personales que conservan estén almacenados según la legislación vigente. Sin embargo, la llegada del Reglamento de Protección de Datos y las multas asociadas a su incumplimiento –que podrían alcanzar hasta el 4% de la facturación anual global de la empresa o a 20 millones de euros– son una advertencia de que ahora es esencial conservar la documentación de forma adecuada.

Seguir estos 12 puede evitar problemas con los organismos competentes y tener que actuar a toda prisa cuando ya no quede remedio, arriesgándose a cometer errores que podrían ser castigados legalmente y tener un alto coste para la entidad.

Se necesita un mensaje!