El Reglamento Europeo de Protección de Datos, más conocido como GDPR por sus siglas en inglés, entró en vigor el pasado 25 de mayo. El objetivo de esta normativa comunitaria es proteger los datos de los usuarios y la circulación de los mismos, una meta que ha obligado a las empresas que realizan cualquier tipo de tratamiento de datos a adoptar las medidas oportunas para lograr una protección efectiva de las mismas.
Proteger los datos de los usuarios y evitar la pérdida o sustracción de los mismos es el deber principal que el GDPR establece impone a las empresas. Su incumplimiento puede conllevar la imposición de sanciones que incluyen multas de hasta 20 millones de euros, así que no es un tema baladí.
Con motivo de la celebración del Día Europeo de la Protección de Datos la consultora VASS, especializada en soluciones digitales, ha elaborado una recopilación de diez claves que las empresas deben aplicar para cumplir de forma efectiva con el Reglamento Europeo de Protección de Datos. Son simples pero importantes e interesantes, así que vamos a compartirlas con vosotros:
1.-Concienciación de la importancia de cumplir con la ley
El primer paso para cumplir el reglamento es concienciarse de por qué es importante proteger los datos. Si los empresarios y trabajadores no tienen este aspecto asimilado, las medidas para cumplir con la GDPR no serán suficientes ni eficaces.
2.-Hacer una hoja de ruta clara y adecuada
Tener un documento que recoja el análisis del riesgo y evaluación del impacto sobre el tratamiento de datos que se ha hecho hasta el momento es básico para actuar conforme al reglamento. No es fácil de elaborar, requiere tiempo y recursos, pero el precio a nivel de reputación y económico de las sanciones por el incumplimiento de la ley siempre será mayor.
3.-Obtener la acreditación del cumplimiento de la GDPR
La Agencia Española de Protección de Datos (AEPD) es el organismo público encargado de hacer cumplir el reglamento. Para evitar las multas, las compañías deben acreditar que han implementado los requisitos que marca la normativa ante esta institución. En caso de que la evaluación de impacto muestre un alto riesgo, la propia AEPD les indicará qué deben hacer.
4.-Elaborar un registro de actividades
En este documento se debe especificar qué datos está recogiendo la empresa y con qué fin, así como las medidas y el nivel de seguridad que se aplican, el tipo de fichero y si los datos almacenados van a ser cedidos fuera del Espacio Económico Europeo (EEE). De esta manera, el ciudadano puede saber en todo momento qué ocurre con su información personal y dónde puede ejercer sus derechos.
5.-Revisar los consentimientos
Todos los organismos deben revisar los consentimientos obtenidos (uso de datos para fines comerciales, enviar información por mail, etc.), así como los documentos de confidencialidad de los trabajadores y los de seguridad para adecuarlos a la GDPR. Será necesario enviar de nuevo toda la información a los usuarios y empleados por motivos de transparencia y, además, hacerlo cuanto antes.
6.-Adecuar las medidas de seguridad
En función de los resultados del análisis de riesgo que realice la compañía, los encargados del tratamiento de datos tienen que ajustar las medidas de seguridad a la realidad de su empresa. Esta es la única fórmula para garantizar un buen uso de la información y de minimizar el riesgo de que esta se vea comprometida en caso de un ciberataque.
7- Establecer mecanismos de notificación
Toda violación de seguridad debe hacerse pública en un plazo máximo de 72 horas. ¿Quién debe recibir la notificación? Los usuarios, clientes y empresas subsidiarias afectadas. ¡Ojo! En caso de que no se efectúe este aviso, los damnificados podrán denunciar y la empresa se enfrentará a sanciones.
8.-Crear una base legal del procesamiento de los datos personales
La normativa recoge seis tipos de bases jurídicas para el tratamiento de los datos en Europa: interés vital del individuo, interés público, necesidad contractual, cumplimiento de obligaciones legales, consentimiento inequívoco del individuo e interés legítimo del responsable del tratamiento de datos. Todas tienen el mismo valor legal y las empresas deben ceñirse a ellas para funcionar de un modo correcto.
9.-La figura del Delegado de Protección de Datos (DPD)
Es muy importante y resulta imprescindible en tres situaciones: cuando se trate de un organismo público, si el responsable hace una monitorización y seguimiento de datos a gran escala y cuando dicha información tenga que ver con condenas o delitos de diferente índole (por ejemplo, la sexual). Si la empresa cumple con alguno de estos supuestos, debe certificar al encargado como DPD a través de la AEPD.
10.-Incorporar innovación tecnológica
La tecnología es un aliado fundamental para facilitar el cumplimiento de la normativa. Las nuevas herramientas y soluciones que los expertos en la materia sacan al mercado no sólo permiten incorporar medidas de seguridad eficaces, sino que también simplifican y agilizan la extracción y el análisis de la información.
