Aunque la mayoría de negocios lo desconocen, a partir del 25 de mayo afrontan un reto importante, para su reputación y para continuar con su actividad empresarial sin sobresaltos. En este artículo vamos a hablar de las soluciones de seguridad para gestionar y cumplir la GDPR. A muchos empresarios sí empiezan a sonarles expresiones como RGPD (por las siglas de Reglamento General de Protección de Datos) o GDPR (por su equivalente en inglés, General Data Protection Regulation). Se trata de un nuevo marco legal –y, por tanto, de obligado cumplimiento –en lo que afecta a la protección de datos personales en los 28 países miembros de la Unión Europea. Su incumplimiento, del que no exonerará el desconocimiento, puede acarrear importantes sanciones económicas. Veamos, paso a paso, qué implica, quiénes deben cumplirlo y qué estrategias se pueden seguir para ajustarse a la nueva normativa.

Mi empresa es pequeña, a mí no me afectará la GDPR…

¿Quién está concernido por el RGPD? Cualquier organización (ya sean sociedades, profesionales autónomos, comunidades, asociaciones o administraciones públicas) que operen en la UE (incluso aunque no radiquen físicamente en la zona) y traten (de forma directa o proveyendo este servicio a un tercero) datos personales. Esta afectación no depende del tamaño de la empresa o entidad. Basta con que se realice cualquier acción que implique tratamiento de datos personales para que pueda ser sancionado si no los custodia y gestiona adecuadamente. Y esto ocurre durante gestos tan cotidianos en el mundo empresarial como enviar una comunicación vía e-mail o conservar fichas de clientes. Además, la ley se debe cumplir no solo en relación a los datos que se incorporen a partir del 25 de mayo, sino de los que ya se posean y gestionen.

GDPR: ¿Qué se consideran datos personales?

Según la GDPR, son datos personales toda la información que lleve a una identificación directa del individuo (nombre, apellidos, teléfono, dirección, etc.) o aquellos que denomina seudonimizados, que no conducen a una identificación directa, pero sí hacen posible individualizar comportamientos (por ejemplo, la muestra de publicidad personalizada ligada a la navegación web). La normativa se inclina por el uso de los segundos frente a los primeros, ya que considera que reducen el riesgo para la privacidad de los usuarios.

La ley también señala qué datos personales se consideran sensibles: cualquiera que pueda revelar cuestiones relacionadas con el origen (racial o étnico), las opiniones políticas o filiaciones sindicales, creencias de tipo religioso o filosófico, datos genéticos, datos biométricos (para la identificación unívoca de un sujeto), que tengan relación con la salud (por ejemplo, los contenidos en informes médicos) o con la vida (u orientación) sexual. Y la normativa europea, a diferencia de la LODP vigente en España (ley que también se adaptará al nuevo marco de la UE), no distingue entre los niveles alto, medio, y básico.

La GDPR y las principales novedades en el día a día de las empresas

En el día a día, ¿qué tendremos que hacer de forma diferente? Por ejemplo, habrá que tener en cuenta los principios de responsabilidad proactiva y el enfoque de riesgo. El primero requiere a las empresas y organizaciones que sean conscientes y proactivas en relación a su tratamiento de datos personales: analizando qué datos tratan, con qué fines y qué operaciones de tratamiento realizan, para determinar, a partir de ello, qué medidas aplicarán para asegurar el cumplimiento de la RGPD. De este modo, además, ante una reclamación por parte de una afectado o de la administración podrán demostrar qué prevenciones habían tomado y si eran las adecuadas.

En cuanto al enfoque de riesgo, la ley conmina a considerar la naturaleza, ámbito, contexto, fines del tratamiento y el riesgo que supone para los derechos y libertades de las personas, para adecuar la aplicación de las medidas (que no tendrán que ser necesariamente las mismas en todos los casos). También se ha de tener en cuenta la obligatoriedad de adoptar mecanismos de seguridad y de notificar los incidentes que puedan producirse. En concreto, se ha de alertar de las fugas de datos antes de las 72 horas.

La nueva regulación refuerza los derechos de los consumidores, por lo que las empresas tendrán que prepararse para cumplir con el derecho al olvido, a la limitación del tratamiento o a la portabilidad de datos. Asimismo, una de las prácticas más frecuentes en las empresas, el consentimiento tácito (por ejemplo, en el envío de boletines electrónicos) requerirá desde ahora una declaración inequívoca o una acción afirmativa clara.

Asimismo, la GDPR introduce los conceptos de privacidad desde el diseño y privacidad por defecto, que obligan a las entidades a tomar una actitud proactiva hacia la defensa de la privacidad de sus clientes, adoptando, tanto las medidas técnicas y organizativas que permitan proteger los datos (como la seudonimización que mencionábamos más arriba) y cumplir el reglamento, como aquellas que sirvan para garantizar que, por defecto, solo se traten los datos personales que sean necesarios para cada finalidad específica.

GDPR, la importancia de las multas y cómo evitarlas

Aunque el volumen de la sanción por incumplimiento de la RGPD dependerá de la naturaleza, gravedad y duración de la infracción, las multas pueden alcanzar los 20 millones de euros (o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía).

En IEAISA podemos ayudar a su empresa a establecer las medidas que garanticen el cumplimiento de la regulación. Contamos con profesionales que le harán ser consciente de qué datos personales está tratando, dónde se encuentran (es frecuente que almacenemos datos duplicados, obsoletos, etc., que ni siquiera sabemos que están en nuestro poder) y qué medidas debe adoptar para protegerlos. Trabajaremos junto a su personal para establecer una nueva cultura de la recogida, gestión (incluyendo la adecuada destrucción, cuando así se requiera), trazabilidad y transparencia en los procesos en lo que se refiere al uso de información personal.

Del mismo modo, podemos ser su aliado para evitar las fugas de información que puedan poner en riesgo la privacidad de los datos de sus clientes y de su propia empresa, así como su reputación. Convertiremos en eficiente su almacenamiento y su sistema de copias de seguridad. Y blindaremos al máximo sus sistemas frente a intrusiones. Todo ello teniendo en cuenta las características específicas de su empresa, acompañándole en todo el proceso de cambio y haciéndoselo mucho más sencillo y asumible. ¿Nos aliamos para cumplir la RGPD?