La Unión Europea ha actualizado su normativa en materia de protección de datos. Esta nueva norma recibe el nombre de Reglamento General de Protección de Datos (RGPD o GDPR en inglés) y se aplica de forma general a todo tipo de entidades (desde autoridades públicas a pequeñas y medianas empresas) sin diferenciar si el tratamiento tiene lugar dentro de la Unión Europea o fuera, aplicándose siempre que afecte a ciudadanos europeos.
Las 4 principales razones por las que se deben de realizar los cambios para cumplir con el GDPR:
- La privacidad y la seguridad no son secundarios
En gran parte, la gestión de la privacidad y seguridad tienen una importancia primordial para el éxito y la reputación de la empresa. La llegada de el GDPR se debería de ver cómo una forma de añadir valor a una empresa y ser un elemento diferencial. La privacidad y seguridad nos afecta a todos, tanto empresarios como usuarios.
- La gestión de la privacidad no consiste únicamente en rellenar un formulario
Se trata de crear una cultura de la seguridad y privacidad que alcance a todos los elementos de la empresa.
- La formación del personal y unos procedimientos adecuados son imprescindibles
Crear acciones formativas para transmitir los procedimientos implantados es la garantía para que se cree esta cultura de la privacidad. Asegúrate de que todos los empleados de tu empresa son conscientes de estos cambios y lo ponen en práctica, también como usuarios fuera de la empresa.
- El impacto económico del incumplimiento de la normativa en materia de privacidad es muy alto
El no cumplir con las obligaciones legales tiene como consecuencia una sanciones que además de su coste afectarán a la reputación de la empresa. Las sanciones pueden suponer desde el 4% de la facturación global de la empresa hasta llegar a un máximo de 22 millones de euros.
Estos seran los pasos de integración que iniciamos
1. Confeccionar el registro de actividades de tratamiento que regula el artículo 30 del Reglamento. Así seremos consciente de la tipología de datos que trata, sus finalidades y las obligaciones que deberá cumplir con cada uno.
2. Análizar la legislación actual (LOPD) y de las novedades que introduce en materia de protección de datos el nuevo reglamento.
3. Nueva redacción de contratos con los usuarios y con los proveedores de servicios con los que se trabaja, teniendo en cuenta aspectos como el “consentimiento informado” y la “responsabilidad activa”.
4. Asignar un presupuesto en 2018 para materializar las inversiones que aseguren el cumplimiento del reglamento.
5. Nombramiento, si es el caso, de un DPO. De forma interna en la empresa.
6. Encargo de una auditoría que ponga de manifiesto el impacto que va a causar en el negocio el GDPR.
7. Implantación de medidas técnicas para la portabilidad de datos o procedimientos para mitigar y comunicar las brechas de seguridad.
8. Implementación de las medidas legales y tecnológicas que se deriven del informe de auditoría. Este último paso supone la compra efectiva de las herramientas de cifrado, borrado o backup que sean necesarias.