GDPR: cúbrase frente a la nueva regulación en protección de datos
Durante unas semanas de la pasada primavera (en los días previos al 25 de mayo), todos los ciudadanos europeos con una cuenta de correo electrónico en uso recibimos decenas de mensajes. Los emisores eran distintos (organizaciones o empresas con las que cada uno de nosotros mantiene algún tipo de relación). Pero el leitmotiv coincidía: en virtud de la aprobación del Reglamento General de Protección de Datos (RGPD, o GDPR, por sus siglas en inglés), los remitentes solicitaban nuestra autorización expresa para que siguiéramos en contacto.
Seguro que muchos pensamos lo siguiente entonces: si estoy recibiendo las comunicaciones de esta organización, es porque en algún momento di mi consentimiento para ello. La respuesta es quizá sí, quizá no. Antes de la entrada en vigor del GDPR, el 25 de mayo de este año (de obligado cumplimiento en los 28 países miembros de la UE), se admitía el consentimiento tácito como aceptación válida para la recepción de comunicaciones y el tratamiento de datos (tal y como recogía la LOPD española). Sin embargo, ahora deberá haber un consentimiento inequívoco y verificable. Esta es una de las cuestiones que cambian con la nueva regulación, pero hay bastantes más.
La GDPR hace aún más importante la gestión de datos
¿Por qué del título de este post? Entre los objetivos de los legisladores europeos al crear el nuevo Reglamento se incluyen: facilitar el día a día de las empresas y organizaciones que desarrollan su actividad en varios países de la Unión (en cualquiera de ellos deberán cumplir siempre la misma legislación); empoderar a los consumidores en lo que respecta al control de sus datos personales (podrán ejercer más derechos en relación a quién puede tratarlos, para qué y hasta cuándo, por ejemplo); pero también aumentar la protección de los mismos (frente a fugas de información, un uso abusivo o fraudulento, etc.).
Y, ¿qué les pasará a las organizaciones o empresas que no vigilen de forma adecuada la seguridad de los datos de sus afiliados, clientes o colaboradores? Que puede tocarles enfrentar cuantiosas sanciones. De ahí, la necesidad de salvaguardar a nuestra empresa u organización. Y de ahí también, el título del post.
Evitar sanciones y salvaguardar la reputación empresarial
El 30 de julio pasado se publicaron en el BOE las medidas relativas al régimen sancionador y a la inspección para la protección de datos, que adaptan así la ley española a la norma europea. Las sanciones son potencialmente muy altas. En concreto, si las infracciones afectan a los derechos de los interesados, al consentimiento o a las transferencias de datos, las multas pueden alcanzar los 20 millones de euros (o el 4% sobre la facturación anual total).
Las inspecciones de la Agencia Española de Protección de Datos (AEPD) se inician cuando se presenta una reclamación, que no siempre tiene que acabar en multa. Al afectado se le da la oportunidad de que demuestre que ha seguido todos los pasos para recabar, custodiar y tratar los datos acorde a la ley. Si ya antes de la nueva normativa era importante llevar a término una adecuada política de gestión y protección de datos, con la exigente regulación actual, y las altas sanciones que conlleva, este tema se vuelve central en cualquier negocio. Sin olvidar el desprestigio que supone que se conozca que una empresa ha puesto en riesgo la privacidad de sus clientes.
Dar los pasos adecuados para proteger los datos
La ley también marca diferentes requisitos en función de qué tipo de datos guardemos y qué uso hagamos de ellos. Las medidas a tomar no tendrán el mismo grado de exigencia si tratamos datos personales, pero no de los considerados sensibles (estos últimos incluyen origen racial o étnico, sentimientos religiosos, opiniones políticas, filiaciones sindicales o temas de salud, entre otros). Otra novedad de la GDPR es que menciona los principios de responsabilidad proactiva y de enfoque de riesgo. Ello nos obliga a tomar medidas activas de protección. Entre otros motivos, porque no podremos alegar ignorancia de la ley para no cumplirla.
Así que el primer paso a dar por cualquier empresa es saber qué datos personales trata; si son sensibles o no; si está cumpliendo la norma en lo que respecta a la recolección, tratamiento y protección; si está preparada para cumplir en tiempo con una petición de portabilidad o de destrucción de datos; si sus sistemas están protegidos contra intrusiones que puedan provocar una fuga o robo de información; si en caso de un incidente grave, podrá recuperar los datos perdidos y volver a la normalidad sin riesgo para terceros y en el menor tiempo posible; si, frente a una reclamación, podrá demostrar que tomó todas las medidas y precauciones debidas…
Una tarea que suena ingente, pero que puede comenzar con buen pie a partir de una auditoría, por parte de profesionales cualificados; y continuar dejándose asesorar sobre los nuevos procesos a implantar. En IEAISA somos especialistas en seguridad y podemos ayudarle a (volvemos al título del post) cubrirse frente al RGPD.